Продажа квадроциклов, снегоходов и мототехники
second logo
Пн-Чт: 10:00-20:00
Пт-Сб: 10:00-19:00 Вс: выходной

+7 (812) 924 3 942

+7 (911) 924 3 942

Содержание

Сколько стоит замена ПТС в 2020-2021 и как избежать затрат?

Москва, ул. Перерва, д. 21 МО ГИБДД ТНРЭР № 4Круглосуточно+7 (495) 349-05-41
Москва, ул. Вагоноремонтная, д. 27 МО ГИБДД ТНРЭР № 19.00 - 18.00 (пн. - чт.) 9.00 - 17.00 (пт.) Сб. и вс. - выходной+7 (495) 484-93-20
Москва, Волховский переулок, д.16/20, стр.3 МО ГИБДД ТНРЭР № 18.00 - 20.00 (вт.) 8.00 - 18.00 (ср. - пт.) 8.00 - 17.00 (сб.) Пн. и вс. - выходной+7 (499) 261-10-95
Москва, ул. Верхняя Красносельская, д.15 А МО ГИБДД ТНРЭР № 18.00 - 20.00 (вт.) 8.00 - 18.00 (ср. - пт.) 8.00 - 17.00 (сб.) Пн. и вс. - выходной+7 (499) 264-32-53
Москва, Посланников переулок, д. 20 МО ГИБДД ТНРЭР № 18.00 - 20.00 (вт.) 8.00 - 18.00 (ср. - пт.) 8.00 - 17.00 (сб.) Пн. и вс. - выходной+7 (499) 265-11-36
Москва, Сигнальный проезд, д. 9 МО ГИБДД ТНРЭР № 38.00 - 20.00 (ежедневно)+7 (499) 903-69-80 +7 (499) 903-62-54
Москва, проспект Мира, д. 207, кор. 1 МО ГИБДД ТНРЭР № 38.00 - 17.00 (вт. - сб.) Пн. и вс. - выходной+7 (499) 187-17-57
Москва, ул. Юности, д. 3 МО ГИБДД ТНРЭР № 38.00 - 20.00 (вт.) 8.00 - 18.00 (ср. - пт.) 8.00 - 17.00 (сб.) Пн. и вс. 9.00 - 18.00 (только через госуслуги)+7 (495) 375-16-11
Москва, ул. 50-летия Октября, д. 6, кор. 1 МО ГИБДД ТНРЭР № 58.00 - 20.00 (ежедневно) Вс. только через госуслуги+7 (495) 439-16-24
Москва, Хорошевское шоссе, д. 40 МО ГИБДД ТНРЭР № 28.00 - 20.00 (вт.) 8.00 - 18.00 (ср. - пт.) 8.00 - 17.00 (сб.) Пн. и вс. - выходной+7 (495) 940-11-19
Москва, ул. Твардовского, д. 8, кор. 5 МО ГИБДД ТНРЭР № 2Для юридических лиц 9.00 - 18.00 (пн. - чт.) 9. 00 - 17.00 (пт.) Сб. и вс. - выходной Для физических лиц Круглосуточно (20.00 - 8.00 только через госуслуги)+7 (499) 740-14-15
Москва, ул. Нагатинская, д. 2, стр. 3 МО ГИБДД ТНРЭР № 48.00 - 20.00 (вт.) 8.00 - 18.00 (ср. - пт.) 8.00 - 17.00 (сб.) Пн. 8.00 - 18.00 только через госуслуги Вс. - выходной+7 (499) 782-24-10
Москва, ул. Академика Глушко, д. 13 МО ГИБДД ТНРЭР № 58.00 - 20.00 (ежедневно)+7 (495) 711-81-03
Москва, ул. Лобненская, д. 20 МО ГИБДД ТНРЭР № 18.00 - 20.00 (ежедневно)+7 (495) 485-41-06

что делать в 2021 году?

Что делать, если нет места в ПТС для нового владельца?

В 2021 году действуют те же правила, что и в предыдущие. Однако, несмотря на это, многих автовладельцев очень интересует этот вопрос.

Согласно законодательству, данное обстоятельство предусматривает замену старого ПТС на новый.

Для этого необходимо обратиться в регистрационные органы и написать соответствующее заявление.

В данной статье разберем все нюансы по переоформлению паспорта автотранспорта.

Что такое ПТС и для чего оно нужно?

Паспорт технического средства – это юридически важный документ, который содержит всю информацию об автомобиле. Именно по этой причине так важна его замена, если закончились пустые места в ПТС и некуда вписать нового владельца.

Документ необходим для:

  • допуска авто к дорожному движению;
  • контроля автомобилей, ввозимых на территорию России;
  • предотвращения угонов и краж авто.

Проще говоря, если в ПТС вы не вписаны как владелец, то вы не имеете право выезжать на машине куда-либо. В противном случае это будет считаться правонарушением, который повлечет за собой наложение административного штрафа.

Исключение составляет езда на автомобиле по доверенности, выписанной его собственником.

Многих интересует, сколько мест в ПТС автомобиля. Всего 6 граф.

Однако первая графа заполняется заводом-производителем, вторая графа — дилером. То есть по факту, когда первый владелец получает паспорт, как минимум, 2 строчки будут уже заполнены.

Как поменять ПТС, если там закончилось место?

Взамен старого паспорта выдается дубликат ПТС.

Чтобы его получить, необходимо обратиться в регистрационный орган — территориальное подразделение ГИБДД. Какие документы для этого нужны?

Пакет документов таков:

  1. Паспорт гражданина (собственника автомобиля либо лица, действующего от его имени по доверенности).
  2. Заявление с просьбой о замене ПТС. Типовой бланк можно получить в регистрирующем органе. Документ не должен содержать абсолютно никаких исправлений, зачеркиваний и помарок. Не допускается наличие лишних цифр, букв, запятых и других обозначений. Если гражданин не уверен в своей грамотности, то правильно оформить заявление поможет специалист за отдельную плату.
  3. Старый ПТС с полностью заполненными строками. Паспорт сдается в орган ГИБДД, где он полностью изучается и осматривается должностным лицом. Сведения об авто, содержащиеся в паспорте, должны точно соответствовать регистрационным данным транспорта. Особое внимание уделяется информации о номере кузова, цвете, дате изготовления авто и номере двигателя. Эта процедура нужна для идентификации автомобиля и подтверждения подлинности ПТС. После сверки и подтверждения данных старый паспорт уничтожается.
  4. Квитанция об оплате госпошлины.
  5. Полис ОСАГО. Авто не поставят на учет до тех пор, пока владелец не сделает страхование гражданской ответственности. Для получения страхового полиса нужно заранее пройти техосмотр в ГИБДД.
  6. Документ, который подтверждает право собственности на транспортное средство. К примеру, им может быть договор купли-продажи. Он обязательно должен содержать подробные сведения о покупателе и продавце, их подписи, идентификационные данные автомобиля и его стоимость.

Выдача дубликата ПТС

Дубликат выдается в день подачи заявления и соответствующего пакета документов.

В новый паспорт транспортного средства регистрационные данные об авто вносятся без изменений.

Однако в графе «пункт об особых сведениях» будет написано о проведенной замене: указывается серия предыдущего ПТС, а также фиксируется дата замены документа.

При выдаче дубликата регистрирующий орган не осматривает авто, что ускоряет процедуру выдачи нового ПТС заявителю.

В этом-то и состоит отличие от процедуры восстановления паспорта в случае его потери, утраты либо кражи.

Замена ПТС перед продажей авто

Как продать и переоформить машину, если в ПТС больше нет места для записи нового владельца?

Продажа транспортного средства должна сопровождаться передачей переоформленного ПТС.

Если новый собственник обратился для перерегистрации купленного автомобиля на свое имя, то у него могут появиться сложности из-за отсутствия свободного места в ПТС. В этом случае продавцу и покупателю в ГИБДД следует поехать вместе.

Поэтому лучше всего заменить паспорт до продажи автомобиля. Это поможет избежать лишней беготни.

Таким образом, можно сделать вывод, что замена ПТС в связи с отсутствием мест происходит достаточно быстро и легко. Дубликат можно получить в регистрационном органе в день подачи заявления.

Необходимо лишь собрать документы, оплатить госпошлину и заранее позаботиться об техническом осмотре автомобиля.

Подпишись на наш Телеграм-канал https://t.me/pravoauto чтобы быть в курсе новых штрафов и других изменений автомобильного законодательства.

Вас заинтересует:


Замена ПТС через Госуслуги: пошаговая инструкция

Замену ПТС через «Госуслуги» производят в нескольких случаях. Среди них основными являются:

  • смена фамилии или имени владельца, в том числе при купле-продаже;
  • смена адреса регистрации (прописки) владельца;
  • внесение изменений в конструкцию автомобиля;
  • истечение срока действия документа;
  • отсутствие свободного места для записей, вносимых контролирующими органами;
  • порча документа, при которой невозможно прочесть основную информацию.

Заявителю следует знать, что процедура замены паспорта транспортного средства облагается сбором. Сумма должна быть уплачена после подачи документов на проведения правовых действий, а квитанцию об уплате пошлины следует хранить минимум до момента получения нового гербового документа.

Пошаговая инструкция замены ПТС через портал «Госуслуги»

Пошаговая инструкция замены ПТС через портал «Госуслуги» выглядит так:

  1. Войдите на сайт и осуществите вход в функционал портала, воспользовавшись личным кабинетом на сайте. После этого перейдите на вкладку, связанную с транспортом и вождением.
  2. После этого выберите строку, касающуюся регистрации автомобиля, и после того, как она подсветится темно-синим цветом, кликните на ней левой кнопкой мышки.
  3. В открывшейся вкладке выберите строку, обведенную на примере красным квадратом и выделенную стрелочкой.
  4. Вы попадете на новую страничку, интерфейс которой будет таким, как на прикрепленном к этому шагу фото. После этого выберите раздел, касающийся причины смены паспорта автомобиля, актуальный в настоящий момент.
  5. После перехода на выбранную страничку ознакомьтесь с информацией и инструкцией по заполнению окошек в этом разделе, после чего кликните кнопку синего цвета с надписью: «Получить услугу». Внесите данные, которые запросит система, проверьте их правильность и обязательно обратите внимание на пункты 6 и 7, в которых нужно выбрать одно из двух предложенных действий.
  6. После того как заявка будет сформирована, владельцу, пожелавшему заменить ПТС, будет предложено выбрать подразделение ГИБДД и удобное время явки за новым документом.

Важно учесть, что на обработку данных, отправленных с электронного сервиса, отводится десять рабочих дней. За это время нужно успеть уплатить госпошлину. Это можно сделать на портале «Госуслуги», причем заплатить на треть меньше, нежели в кассе Сбербанка.

При обращении за новым паспортом транспортного средства заявитель должен иметь при себе все те документы, данные из которых он вносил при подаче заявления, а также предъявить сотруднику, осуществляющему выдачу документов и регистрационных знаков (номеров), паспорт или иной документ, его заменяющий. СТС и водительское удостоверение также желательно иметь при себе.

В заключение статьи о замене паспорта транспортного средства через портал «Госуслуги» следует сказать о том, что данный способ намного упрощает процедуру, ведь заявитель избавлен от надобности записываться на прием, ношения вороха документов и утомительного ожидания в нескончаемых очередях. А еще, используя современные возможности дистанционного оформления документов, можно выбрать удобное время и совершить оплату, сэкономив деньги.

Электронный паспорт (ЭПТС)

Электронный паспорт (ЭПТС)

РОЛЬФ предоставляет услугу выпуска Электронного паспорта транспортного средства (ЭПТС) взамен бумажного на ранее зарегистрированные автомобили категории M1, N1.

Вы можете заказать услугу выпуска ЭПТС в РОЛЬФ

Для получения услуги Вам потребуется предоставить свой автомобиль на дилерский центр для проведения сверки данных и фотофиксации, а также передать оригинал ПТС.

После выпуска ЭПТС бумажный вариант утратит свое действие.

Если в ПТС Вы были последним собственником есть возможность вписать Вас собственником в ЭПТС, при этом Вам необходимо будет пройти процесс саморегистрации в СЭП (по ЭЦП или через Госуслуги).

После выпуска ЭПТС Вы получаете выписку, сформированную из системы. Так же, если Вы вписаны в ЭПТС собственником и ЭПТС находится на Вас, Вы можете самостоятельно сформировать выписку из системы, и при продаже автомобиля, передать ЭПТС на следующего собственника.

Какие преимущества применение электронных паспортов?

Электронный паспорт (ЭПТС) не изменяет привычной логики поведения автовладельцев при покупке, страховании и регистрации автомобиля. Покупатель проходит данные этапы абсолютно также, как и ранее, с единственной разницей – отсутствием бумажного ПТС.

При приобретении нового автомобиля покупатель получает в РОЛЬФ договор купли-продажи, в котором прописан номер ЭПТС. Договор купли-продажи является основным документом, устанавливающим право собственности. Также в момент осуществления сделки купли-продажи новому собственнику будет направлена электронная выписка из ЭПТС.

С договором купли-продажи, в котором указан номер ЭПТС, и распечатанной выпиской автовладелец сможет оформить договор ОСАГО. При этом, обмен информацией с Российским союзом автостраховщиков (РСА) через государственную Систему межведомственного электронного взаимодействия (СМЭВ) позволяет страховщикам запрашивать и получать из Системы электронных паспортов все необходимые сведения для оформления полисов ОСАГО для владельцев автомобилей с ЭПТС.

После получения полиса ОСАГО автовладелец обращается в регистрационное подразделение ГИБДД, где инспектору необходимо представить из документов на автомобиль - договор купли продажи и страховой полис. По VIN или номеру ЭПТС сотрудник ГИБДД получит всю необходимую информацию об автомобиле в электронном виде и проведет регистрационные действия. Выдаст автовладельцу свидетельство о регистрации транспортного средства (СТС), в котором указан номер ЭПТС, на основании которого оформлено СТС. Данный документ остается как и прежде, и его по-прежнему необходимо иметь на руках водителю при управлении автомобилем.

Основные преимущества электронного паспорта транспортного средства для автовладельцев:

1. Переход на электронный паспорт транспортного средства не меняет привычной логики поведения автовладельцев – у владельца на руках по-прежнему остается договор купли-продажи и Свидетельство о регистрации транспортного средства (СТС).

2. Исключение из оборота документа личного хранения – ПТС на бумажном носителе.

3. Возможность создания и хранения максимально полной истории транспортного средства, основанной на данных из заслуживающих доверия источников, включая информацию об ограничениях и обременениях, о страховании и страховых случаях.

Наличие более полной и детальной информации о транспортном средстве в электронном паспорте позволяет обезопасить участников рынка от различных злоупотреблений в отношении автомобилей.

Кто оформляет ЭПТС?

  • организации-изготовители.
  • уполномоченные организации (РОЛЬФ).

Что будет выдаваться владельцу транспортного средства взамен бумажного ПТС?

Электронный паспорт транспортного средства (далее - ЭПТС) существует исключительно в электронной форме в Системах электронных паспортов.

В соответствии с Порядком, утвержденным Решением Коллегии Евразийской экономической комиссии от 22.09.2015 № 122 собственнику транспортного средства будет доступна выписка из электронного паспорта в объеме сведений, указанных в приложении к вышеуказанному Порядку.

Состав сведений выписки в целом соответствует сведениям содержащимся в настоящее время в бумажных ПТС.

Что предъявлять сотрудникам ГИБДД, если нет бумажного ПТС?

В соответствии с правилами дорожного движения водитель обязан предъявить сотруднику полиции (ГИБДД):

  • водительское удостоверение;
  • регистрационные документы на транспортное средство (свидетельство о регистрации транспортного средства – СТС).

Бумажный паспорт транспортного средства и электронный паспорт транспортного средства к регистрационным документам не относятся.

Владелец транспортного средства с электронным ПТС, как и раньше будет регистрировать свое транспортное средство в ГИБДД и получать на руки СТС.

Обязательно ли менять ПТС на ЭПТС? Может ли быть у владельца сразу ПТС и ЭПТС?

Принудительной замены бумажного ПТС, оформленных до 1 ноября 2020 г. на электронный паспорт не будет.

После 1 ноября 2020 г. замена бумажного ПТС на электронный будет происходить:

  • при утрате бумажного ПТС;
  • если бумажный ПТС придет в негодность;
  • все графы ПТС будут заполнены;
  • по желанию собственника (владельца).

На новые транспортные средства/шасси/самоходную и другие виды техники будут выдаваться только электронные паспорта.

В соответствии с действующим законодательством не допускается одновременное оформление электронного паспорта и паспорта на бумажном носителе на одно транспортное средство.

Поэтому при наличии оформленного электронного паспорта транспортного средства на ранее зарегистрированное транспортное средство, бумажный паспорт будет признаваться не действительным.

 

Что делать, если для нового владельца автомобиля нет места в ПТС?

Под сокращением ПТС (паспорт транспортного средства) скрывается технический паспорт автомобиля. То есть это основной документ, который сопровождает машину со времени ее выхода с конвейера до утилизации. Все технические изменения от цвета кузова до замены номерных агрегатов (например, двигателя) вносятся в ПТС.

Как продать автомобиль, если в нем нет места для нового владельца?

СПРАВКА: Сам по себе документ имеет семь мест для заполнения. На первой странице есть только одно место для заполнения, куда вписывается либо завод изготовитель, либо запись таможенной службы, если автомобиль ввезен из-за рубежа. Разворот ПТС имеет четыре места. Обычно одно из них заполняется автосалоном, через который авто было продано. Иногда бывает, что машина проходит длинную дилерскую дистанцию и записей автосалонов может быть больше. Таким образом, в лучшем случае остается пять мест для хозяев транспортного средства. То есть человек, купивший машину шестым, оказывается в ситуации, когда он не может быть вписан в ПТС.

Кроме этого, графы ПТС могут заполняться не только в случае смены владельца, но и по другим причинам, основными из которых можно назвать три главных:

  • смена фамилии, имени или отчества владельца автомобиля;
  • изменение гражданской регистрации, то есть смена места жительства владельца;
  • технические изменения в конструкции автомобиля.

Но иногда могут возникнуть случаи, когда документ поврежден или утрачен. Это также требует получения дубликата, который выдается на основании получения сведений об автомобиле из базы данных ГИБДД. В таких исключительных случаях выдача может потребовать большого количества времени.

Таким образом, может случиться, что места для записей при смене хозяев может оказаться меньше. Но вот все графы заполнены, а машина продана в очередной раз.

ВАЖНО: Это тот случай, когда нужна замена технического паспорта. Такая процедура предусмотрена на законодательном уровне приказом МВД № 496, в котором говорится о том, что документ подлежит замене, если в нем заполнены все строки и графы.

Кто должен менять ПТС, если в нем закончилось место?

В соответствии с пунктами 1 и 2 статьи 209 Гражданского кодекса Российской Федерации собственнику принадлежат права владения, пользования и распоряжения своим имуществом. То есть, при составлении договора купли-продажи замену полностью заполненного ПТС может произвести как предыдущий владелец, так и новый. В этом случае часто возникают ситуации, когда сотрудники автоинспекции отказываются выдавать дубликат ПТС новому хозяину. Такие их действия являются противозаконными. Стороны сделки имеют право оставить записи даже на полях старого паспорта с тем, чтобы эта запись была перенесена в выдаваемый дубликат ПТС. Сотрудники ГИБДД обязаны произвести регистрационные действия в отношении владельца транспортного средства.

Как заменить полностью заполненный ПТС?

ВАЖНО: Чтобы переоформить паспорт транспортного средства, необходимо заполнить ряд документов. К их числу относятся:

  1. Заявление на бланке МРЭО.
  2. Паспорт текущего владельца автомобиля.
  3. Старый ПТС.
  4. Страховка ОСАГО.
  5. Договор купли-продажи автомобиля.
  6. Квитанция об оплате госпошлины на смену паспорта транспортного средства.

Чтобы замену ПТС мог сделать новый владелец, договор купли-продажи должен быть заверен нотариально.

Старый технический паспорт сдается сотрудникам автоинспекции, где он хранится до утилизации автомобиля. Взамен владельцу выдается дубликат ПТС. Этот документ полностью совпадает с полноценным паспортом и единственное его отличие в том, что бланк имеет надпись «Дубликат». Документ по регламенту документооборота должен быть выдан в течение часа.

Если в паспорте транспортного средства не осталось места для записей и он подлежит замене, то вместе с ним меняется и свидетельство о регистрации ТС. Причем при замене ПТС, свидетельству присваивается новый номер. Дело в том, что данные из ПТС обязательно переносят в регистрационное свидетельство.

Как видно из всего сказанного выше, процедура замены ПТС довольно проста и не требует много времени. Весь вопрос в том, кто будет производить его замену. В таких случаях все происходит по взаимной договоренности сторон. Зачастую новый владелец машины не всегда доверяет дубликату, поэтому при продаже машины процедуру смены ПТС продавец и покупатель совершают совместно. Причем заявителем на смену ПТС может выступить только владелец автомобиля.

Как поставить машину на учёт в ГИБДД в 2021 году

Этот материал обновлен 15.04.2021

Если вы стали собственником автомобиля, нельзя просто взять и начать свободно ездить по дорогам. Сначала его нужно зарегистрировать в ГИБДД.

Сергей Немчинов

регистрировал авто в ГИБДД

Профиль автора

Каждое транспортное средство, которое ездит по дорогам, должно быть зарегистрировано. Регистрацией транспортных средств занимаются подразделения ГИБДД и специализированные организации.

Правила и процесс регистрации транспортных средств и прицепов к ним описан в следующих документах:

  1. ФЗ о государственной регистрации транспортных средств.
  2. Правила государственной регистрации транспортных средств.
  3. Административный регламент о предоставлении государственной услуги по регистрации транспортных средств.

Регистрации подлежат:

  1. Автомобили и мотоциклы с мощностью двигателя более 4 кВт или 50 см³.
  2. Автомобили и мотоциклы со скоростью более 50 км/ч.
  3. Прицепы к автомобилям и мотоциклам.
  4. Автотранспорт, который стоит на учете в других странах и временно ввезен на территорию России на срок более 1 года.

В статье расскажу именно про регистрацию автомобиля на примере своего опыта.

Новые правила регистрации автомобиля в 2020 году

Я регистрировал свой автомобиль в 2019 году. В 2020 году правила регистрации транспортных средств были изменены. Например, теперь при покупке нового авто в салоне не обязательно ехать в ГИБДД — номера и документы можно получить у дилера, если у него есть разрешение на регистрацию.

Федеральный закон от 30.07.2019 № 256-ФЗ

Расскажу о регистрации с учетом новых поправок.

Что такое регистрация в ГИБДД и зачем она нужна

Регистрация — постановка на учет — нужна для того, чтобы у автомобиля был допуск к участию в дорожном движении. По общему правилу срок действия регистрации не ограничен, продлевать ежегодно ее не нужно. Однако есть ряд случаев, когда регистрация делается на определенный срок. Например, если у человека нет постоянной прописки, автомобиль ставится на учет на срок временной регистрации.

п. 35 правил госрегистрации транспортных средств

Регистрация автомобиля и право собственности на машину тесно связаны, но друг от друга не зависят. Если не поставить машину на учет в ГИБДД, право собственности не исчезнет. Но обязанность платить налоги останется у прежнего владельца, и штрафы с камер будут приходить к тому, на кого машина зарегистрирована. Казалось бы, новому владельцу хорошо, но прежний владелец может прекратить регистрацию на свое имя, и тогда машина сможет доехать только до первого поста ГИБДД.

При регистрации государство проверяет, не находится ли автомобиль в угоне, нет ли какого-нибудь запрета на регистрационные действия. Это важно для покупателя: если автомобиль был похищен, на учет его не поставят.

Постановка на учет автомобиля дает государству гарантию, что автомобиль соответствует своей конструкции, а установленное в нем оборудование, например газовое, безопасно для окружающих. А также что владелец авто следит за его техническим состоянием.

Регистрация также нужна, чтобы выявлять преступления и пресекать правонарушения, которые связаны с использованием транспортных средств. Если, например, грабители банка уехали на машине, их проще отследить по специальным сервисам.

Когда автомобиль зарегистрирован, выдают свидетельство о регистрации — СТС. Это заламинированный документ, в котором указаны данные собственника и основные данные автомобиля. После регистрации в паспорт транспортного средства вписывают серию и номер СТС, дату и место его выдачи, номера автомобиля.

СТС всегда должно находиться у водителя в поездке Его требуют гаишники, когда останавливают машину

Регистрировать автомобиль в ГИБДД может собственник лично или его доверенное лицо. В основном собственники автомобиля — это физические лица. На учет машину могут ставить владельцы, которым исполнилось 16 лет. Если собственнику меньше 16 лет, автомобиль регистрируют на родителей, опекунов, усыновителей или попечителей.

Также собственником авто может быть юридическое лицо. Это относится, например, к автомобилям каршеринга, грузовикам предприятия, инкассаторским фургонам банка, автомобилям такси, которые принадлежат транспортной компании.

Избранные статьи для автомобилистов

Как ездить без штрафов и не переплачивать за обслуживание машины — в рассылке для автолюбителей

Срок постановки автомобиля на учет

Владелец автомобиля обязан поставить его на учет в течение 10 суток после приобретения. Неважно, новая машина или подержанная.

Опоздание — это нарушение правил регистрации. Если нарушение выявят при попытке зарегистрировать машину, выпишут штраф от 1500 Р до 2000 Р. Несмотря на штраф, машину на учет поставят.

п. 1 ст. 19.22 КоАП РФ

Если нарушение выявят сотрудники ГИБДД на дороге, выпишут штраф от 500 Р до 800 Р. При повторном выявлении нарушения — если не поставить машину на учет после первого штрафа — оштрафуют на 5000 Р или лишат водительских прав на срок от одного до трех месяцев.

п. 1 ст. 12.1 КоАП РФ

ч. 1 ст. 12.3 КоАП

Если водитель просто забыл СТС дома — это не нарушение правил регистрации, но санкции за такое все равно есть: предупреждение или штраф 500 Р. Если друзья или родственники не привезут водителю документы, гаишники могут задержать автомобиль и отвезти его на штрафстоянку.

п. 1 ст. 27.13 КоАП

10 дней — срок после покупки автомобиля, когда можно ездить легально без постановки на учет.

Что нужно для регистрации автомобиля

Документ о праве собственности. Автомобиль или другое транспортное средство — это собственность. Нельзя просто сказать, что автомобиль принадлежит водителю. Право собственности на автомобиль подтверждается:

  1. Договором купли-продажи, мены или дарения.
  2. Документом о выделении автомобиля инвалиду — его выдают органы соцзащиты.
  3. Решением суда, судебным приказом или постановлением пристава-исполнителя.
  4. Выпиской из передаточного акта при изменении формы юридического лица, например при реорганизации предприятия и передаче его имущества другой компании.
  5. Свидетельством о праве на наследство.
  6. Заверенной выпиской протокола и актом передачи автомобиля в качестве выигрыша в лотерею и др.

Я покупал подержанный автомобиль и в качестве документа о праве собственности предоставлял в ГИБДД договор купли-продажи.

Также в договоре обязательно должен быть указан факт передачи транспортного средства от предыдущего владельца новому. Договор составляется в 3 экземплярах: по одному для сторон договора и один — в ГИБДД.

Мы с продавцом подписали договор купли-продажи автомобиля в момент передачи денег

Паспорт транспортного средства. В ПТС необходимо вписать нового владельца — это можно сделать самостоятельно при подписании договора купли-продажи, — указать место жительства, дату покупки и поставить подписи прежнего и нового собственников.

Если не вписать данные, это сделают сотрудники ГИБДД при регистрации. Но подписи двух собственников — прежнего и нового — придется ставить самостоятельно.

Форма для внесения изменений в электронный ПТС. Заполняет ее продавец, а покупатель подтверждает кодом из смс

Полис ОСАГО. Автомобиль нужно застраховать до регистрации в ГИБДД не позднее 10 дней после приобретения. Поставить автомобиль на учет без ОСАГО не получится.

п. 2 ст. 4 закона об ОСАГО

Для оформления полиса потребуются:

  1. Паспорт нового собственника.
  2. Договор купли-продажи или другой документ о праве собственности.
  3. Водительское удостоверение.
  4. Действующая диагностическая карта техосмотра — в случае, если возраст автомобиля не позволяет без нее обойтись.
Ну и что? 25.03.21

Как пройти техосмотр в 2021 году

Техосмотр нужен для безопасности водителя и пешеходов от случайных аварий, например из-за неисправностей тормозной или рулевой систем. А также для того, чтобы страховая компания была уверена в надежности автомобиля и застраховала его.

Сотрудники ГИБДД и страховой компании не эксперты, а автомобиль — сложный механизм, и с первого взгляда сложно сказать, исправен ли он. Поэтому техосмотр проводят специализированные организации. Они изучают все необходимые параметры и выписывают диагностическую карту. В ней указано, может ли автомобиль передвигаться по дороге безопасно. Если нет — в оформлении страхового полиса откажут, а без него откажут и в постановке на учет. Нет техосмотра — нет полиса ОСАГО.

С 2020 года для легковых автомобилей старше 4 лет техосмотр проводится раз в два года. Раз в год техосмотр проходят:

  1. Легковые такси.
  2. Автобусы.
  3. Грузовики, оборудованные для перевозки более 8 пассажиров или с максимальной массой более 3,5 тонны.
  4. Машины со спецсигналами.
  5. Транспортные средства, предназначенные для обучения вождению.

Если ОСАГО не оформить, вся ответственность по возмещению убытков при ДТП ляжет на собственника автомобиля. Воспользоваться полисом бывшего владельца уже не получится.

При регистрации автомобиля данные о новом полисе ОСАГО уже будут в базе ГИБДД — приносить экземпляр полиса не нужно.

Регистрационный знак. После покупки автомобиля за новым собственником остается право сохранить госномер, тогда пошлину за их выдачу платить не нужно. Но номера можно поменять при регистрации в ГИБДД, заплатив 2000 Р — или 1400 Р, если платить на госуслугах.

Номера обязательно нужно менять, если:

  • регистрационный знак утратил внешний вид и не читаем;
  • на номерах появилась ржавчина;
  • есть механическое повреждение, из-за которого знак не читаем;
  • отсутствует один из двух номерных знаков.

Бывает так, что прежний хозяин автомобиля хочет сохранить номера. В этом случае тоже придется получить новые в ГИБДД.

Заявление в ГИБДД. Чтобы ГИБДД начала процедуру постановки на учет автомобиля, нужно подать заявление. Его можно написать от руки в ГИБДД или заполнить в электронном виде на госуслугах.

Проще и удобнее подать заявление на регистрацию автомобиля на госуслугах. К тому же на уплату госпошлины будет скидка 30%.

Куда обращаться, чтобы поставить машину на учет

Зарегистрировать автомобиль можно в любом подразделении ГИБДД вне зависимости от места регистрации владельца автомобиля и бывшего собственника.

Например, если водитель зарегистрирован в Казани, но машину купил в Москве, гнать автомобиль в Казань не нужно — на учет его можно поставить в Москве. Зарегистрировать авто можно и в любом другом городе — там, где удобно новому владельцу.

Но если автомобиль новый или старый владелец забирает свои номера, московское МРЭО не выдаст новый номерной знак — только укажет в СТС. Изготавливать знак придется за отдельные деньги вне МРЭО. И все из-за постоянной регистрации нового владельца в Казани.

Регистрация автомобиля через МФЦ. В некоторых регионах можно подать заявление на регистрацию автомобиля через МФЦ, как и поменять водительское удостоверение или оформить ОСАГО.

Заявление на регистрацию авто через госуслуги

Чтобы подать заявление через госуслуги, необходимо быть авторизованным в системе. Если купили автомобиль с рук, нужна услуга «Регистрация транспортного средства. Изменение регистрационных данных в связи с переходом права собственности (купли-продажи)».

Чтобы найти услугу, в поле «Поиск» достаточно указать «Регистрация ТС» Если купили подержанный автомобиль, выбирайте «Изменение регистрационных данных в связи с переходом права собственности (купли-продажи)»

В появившемся окне услуги указана общая информация: сроки, стоимость и алгоритм получения. Там же необходимо выбрать тип услуги. «Электронная услуга» позволяет заполнить заявление на сервисе и записаться в ГИБДД. Если выбрать «Личное посещение», доступна только опция записи — заполнять заявление придется от руки в ГИБДД.

Чтобы заполнить заявление в электронном виде, потребуется всего 15 минут

Транспортное средство. Сначала необходимо выбрать вид транспортного средства: автомобиль или автобус, прицеп или прочие транспортные средства. Затем выбрать, кто подает заявление: собственник или доверенный представитель.

Чтобы сделать выбор, нужно поставить отметку у соответствующего поля

Ваши данные. Персональные и паспортные данные заполняются автоматически из личного кабинета на госуслугах. Если какие-то данные не указаны, их нужно дописать.

Адрес проживания необходимо заполнить по месту постоянной регистрации, временной регистрации или фактического проживания. У меня постоянная регистрация, поэтому я указал адрес как в паспорте.

В персональных данных я дополнительно указал только свой ИНН В паспортные данные дописал гражданство, страну и место рождения К адресу проживания необходимо указать почтовый индекс

Информация о транспортном средстве. После нужно заполнить информацию о транспортном средстве. Сначала необходимо выбрать, нужен ли новый госномер на автомобиль. Можно оставить номера от предыдущего собственника и не платить госпошлину за их выдачу. Я так и сделал. Если будете менять номера, в заявлении нужно указать старые.

Далее нужно выбрать, что делать с ПТС: получить новый или внести изменения в действующий. Новый ПТС нужно выбирать, когда в старом не осталось места для сведений о новом собственнике. За новый ПТС нужно уплатить госпошлину 560 Р. Если место еще есть, выбирайте второй вариант. В этом случае госпошлина будет 245 Р. Электронные ПТС будут введены к 1 ноября 2020 года.

В разделе «Категория транспортного средства» выбирайте категорию, которая указана в свидетельстве о регистрации ТС. В моем случае это была категория В. Она у всех легковых автомобилей массой до 3,5 тонн.

Для заполнения раздела «Описание транспортного средства» — вин-номер, номер кузова и номер шасси — потребуется ПТС. Все данные есть в нем.

Марку, модель и год выпуска автомобиля в разделе «Данные транспортного средства» заполнять обязательно. Эти данные есть в ПТС. Необязательные поля — тип транспортного средства, тип двигателя, организация изготовитель и цвет автомобиля — также можно заполнить из ПТС.

Мне не требовалось менять номера При замене номеров необходимо указать тип и номер знака Данные о транспортном средстве нужно взять из ПТС

Информация о документах. Раздел «Наименование регистрационного документа» — это СТС прежнего владельца.

«Данные страхового полиса» заполнять не обязательно: страховая компания передаст данные полиса в ГИБДД.

Данные можно взять из СТС прежнего владельца и нового полиса ОСАГО

Выбор подразделения ГИБДД. Последний раздел — выбор подразделения ГИБДД, где будете ставить автомобиль на учет: по адресу проживания или по иному адресу. Я выбрал второй вариант, так как купил машину в регионе, в котором не прописан.

В обоих случаях нужно указать адрес проживания в городе, где планируете ставить автомобиль на учет. Система на карте покажет ближайшие подразделения ГИБДД.

После выбора подходящего подразделения нужно выбрать удобную дату и время посещения ГИБДД. Если выбранный день не рабочий или все места уже заняты, появится надпись: «Нет свободного времени для записи». Если места для записи есть, появятся окошки со свободным временем.

На карте будет видно ближайшее к вам отделение ГИБДД Запись возможна каждые 12 минут Записи нет в нерабочие дни и когда все места уже заняты

После заполнения заявления нужно поставить галочку, что вы ознакомлены с порядком подачи заявления в электронном виде, и нажать кнопку «Подать заявление».

Заполнение заявления по доверенности. Если вы не можете самостоятельно поставить автомобиль на учет, можно попросить друга или родственника. Для этого потребуется доверенность от нотариуса или написанная от руки. Но во втором случае еще могут спросить паспорт собственника, чтобы избежать подлога.

В доверенности обязательно должны быть указаны:

  1. Данные собственника автомобиля: ФИО, дата рождения, паспортные данные, прописка. Если автовладелец — юрлицо, потребуются наименование, юридический адрес и другие реквизиты организации.
  2. Данные доверенного лица: ФИО, дата рождения, паспортные данные, прописка.
  3. Данные автомобиля: марка, модель, цвет, год выпуска, вин-номер, номер кузова и двигателя, номерные знаки.
  4. Перечень полномочий в ГИБДД, которые собственник доверяет представителю: поставить на учет автомобиль, быть представителем при возникновении спорных ситуаций.
  5. Дата и место составления документа.
  6. Подпись доверителя.

По доверенности заявление в ГИБДД на госуслугах заполняет не собственник, а доверенное лицо. Поэтому во втором разделе необходимо выбрать, например, «Доверенный представитель физического лица». Появятся дополнительные графы:

  1. Сведения о доверенности: номер, дата выдачи, кем выдана.
  2. Сведения о собственнике: ФИО, дата рождения, пол, контактный телефон.
  3. Паспортные данные собственника.
  4. Адрес проживания собственника.
Что делать? 23.01.20

Я продал автомобиль по доверенности, а потом его угнали

Если заявление на регистрацию будет подавать представитель по доверенности, в форме появятся дополнительные графы. Доверенность можно составить самостоятельно и сэкономить на нотариусе Если нет постоянной регистрации, то и учет автомобиля будет временный на период регистрации

При выборе пункта «Доверенный представитель юридического лица» — если заявление заполняет представитель компании — появятся такие дополнительные графы:

  1. Сведения о доверенности: номер, дата выдачи, кем выдана.
  2. Персональные данные собственника (юридического лица): наименование, ИНН, контактный телефон.
  3. Юридический адрес.
Данные о юрлице в заявлении должны совпадать с данными в доверенности

Уплата госпошлины. После подачи заявления на адрес электронной почты придет ссылка на уплату госпошлины со скидкой 30%. Если не менять номера автомобиля, можно дополнительно сэкономить 1400 Р.

Я заплатил всего 595 Р — за СТС и внесение записи в ПТС.

Размер госпошлины за постановку автомобиля на учет

Выдача номеров

Без скидки

2000 Р

Скидка 30%

1400 Р

Выпуск нового СТС

Без скидки

500 Р

Внесение записи в ПТС

Без скидки

350 Р

Без скидки

2850 Р

Скидка 30%

1995 Р

Я уплатил госпошлину сразу, как пришло письмо на электронную почту

Что дальше. В личном кабинете на госуслугах во вкладке «Уведомления» появятся два файла: заявление в ГИБДД и электронный билет с местом и временем регистрации. Их нужно распечатать.

Файлы придут в формате ПДФ Талон поможет не забыть, когда идти ставить машину на учет Распечатанное заявление нужно отдать в ГИБДД

Посещение ГИБДД

В ГИБДД нужно явиться к назначенному времени с автомобилем и всеми оригиналами документов: паспортом собственника, ПТС, СТС прежнего владельца, распечатанным заявлением и документом о праве собственности. Если заявление подает представитель, также потребуется его паспорт и доверенность.

Автомобиль требуется для сверки вин-номера, номера двигателя и шасси с данными из ПТС. А также чтобы проверить, не перебивались ли номера и не была ли машина угнана. Документы нужны, чтобы проверить правильность заполнения договора купли-продажи и заявления на постановку на учет.

Что делать? 03.08.18

Хочу защитить машину от угона

Первичное окно. Сначала необходимо обратиться в окно для подачи заявления на регистрацию. Сотрудник отметит у себя, что вы пришли в назначенное время, и проверит заявление.

Если какая-то информация не указана в заявлении, например нет данных ОСАГО, сотрудник сам их впишет и выдаст отредактированное заявление с дополнением. Если все графы заявления заполнены, сотрудник выдаст только лист-дополнение — можно следовать на специальную площадку для осмотра автомобиля. Дополнение — это карта регламентных проверок. В ней отражены все регистрационные действия по машине за все время. А также информация о том, находится ли она в розыске, есть ли ограничения и запреты.

Если подавать заявление не через госуслуги, придется ждать всех регистрационных действий в порядке живой очереди и заполнять заявление вручную. Все это может задержать вас в ГИБДД не на один час.

В дополнении к заявлению есть вся информация о проверках автомобиля в ГИБДД Из этих документов можно узнать, кто владел автомобилем до вас, а также его домашний адрес и дату рождения

Осмотр машины на площадке. Сотрудник ГИБДД сверит вин-номер, цвет и марку автомобиля с данными в ПТС. Машина должна быть чистой. Если все совпадает, сотрудник поставит отметку «соответствует» в заявлении и отправит на дальнейшую регистрацию. Если не совпадет хотя бы один из номеров, в регистрации откажут.

Получение свидетельства и ПТС. В окне приема документов необходимо отдать:

Что делать? 12.11.20

Можно ли поставить на машину раму без документов и не нарушить закон?

  1. Экземпляр договора купли-продажи.
  2. Паспорт нового владельца.
  3. Доверенность и паспорт представителя — если заявление подает доверенное лицо.
  4. ПТС.
  5. СТС прежнего владельца.
  6. Заявление на регистрацию с отметкой об осмотре.
  7. Два госномера для замены — если собираетесь менять номера.

На момент подачи документов должна быть уплачена госпошлина и оформлено ОСАГО. Чек об оплате и полис предоставлять не нужно.

Сотрудник проверит правильность и соответствие всех реквизитов документов. Если все в порядке, примет документы и попросит подождать, пока происходит учет автомобиля. Через 10—15 минут в этом же окне выдадут новые номера, СТС и ПТС с новой записью о собственнике.

Чтобы получить документы, необходимо подождать всего 15 минут

Упрощенная регистрация при сохранении номерных знаков. При замене номеров их скручивает сам владелец автомобиля после осмотра сотрудником ГИБДД. Если одного номера не будет, в регистрации откажут. Придется сначала делать дубликат в связи с утратой номера.

Срок регистрации. Сама регистрация автомобиля бессрочна, но она может прекращаться, например, в случае:

  • смены собственника;
  • когда машину угнали и собственник заявил об этом в полицию;
  • утилизации автомобиля;
  • вывоза автомобиля за пределы России, чтобы постоянно использовать его за границей;
  • расторжения договора лизинга;
  • замены автомобиля, который признан товаром ненадлежащего качества.

Особенности регистрации нового автомобиля

Стоимость такой услуги автосалона не должна превышать 500 Р. Тариф действует с 4 августа 2019 года.

Приказ ФАС № 448/19

Собственнику нового автомобиля нужно подписать договор с автосалоном на совершение регистрационных действий в ГИБДД и предоставить документы: свой паспорт, полис ОСАГО, чек об уплате госпошлины за выдачу ПТС, СТС и номеров.

Регистрация нового автомобиля для юридических лиц. От имени организации автомобиль на учет ставит представитель, назначенный приказом руководителя компании. Обычно это сотрудник фирмы. Доверенность нотариально заверять не нужно. Заявление можно подать также через госуслуги.

На госуслугах такая услуга называется «Регистрация нового ТС, ранее не зарегистрированного в ГИБДД». Заявителем является доверенное лицо организации. В заявлении необходимо указать данные представителя, сведения о доверенности, данные юрлица и юридический адрес организации. Также указывается документ, подтверждающий право собственности. К документам необходимо приложить выписку из ЕГРЮЛ в виде распечатки с сайта ФНС.

Госпошлина, а также остальной порядок постановки на учет идентичен, как у физических лиц.

Отказ в постановке на учет автомобиля

В регистрации откажут, если:

  1. Невозможно идентифицировать авто вследствие подделки, сокрытия, изменения или уничтожения его маркировки.
  2. Основной компонент с маркировкой заменен на аналогичный без маркировки, и это препятствует идентификации автомобиля.
  3. Автомобиль снят с государственного учета после утилизации.
  4. Регистрационные данные или конструкция автомобиля не соответствуют сведениям в документах.
  5. Авто либо его основной компонент находится в розыске.
  6. Не уплачена госпошлина за регистрацию.
  7. За регистрацией обратился не собственник и не представитель по доверенности.
  8. Представлены не все документы, или они не читаемы.
  9. Автомобиль не представлен в ГИБДД для осмотра.
  10. Есть запреты и ограничения по закону.

Что еще нужно знать

Нужно ли регистрировать автомобиль, если получить его в наследство и сразу продать. В таком случае регистрировать автомобиль наследникам не нужно, даже если он не стоял на учете в ГИБДД. В договоре купли-продажи необходимо указать, что автомобиль принадлежит продавцу на основании свидетельства о праве на наследство, и указать его реквизиты.

Что делать? 14.12.18

Я наследник, могу ли я ездить на машине умершего?

Можно ли зарегистрировать авто, если оно снято с учета предыдущим владельцем. Зарегистрировать такой автомобиль можно. Но есть нюансы.

Раз автомобиль снят с учета, значит, с момента покупки прошло больше 10 дней. При постановке точно выпишут штраф за нарушение сроков регистрации.

Кроме того, нужно уплатить госпошлину за новые номера и сдать старые, так как они признаны недействительными. Когда прежний собственник снимает с учета свой бывший автомобиль, ГИБДД автоматически признает номера машины и СТС недействительными, а значит, ездить на таком автомобиле нельзя. При первой остановке сотрудниками ГИБДД начнутся проблемы, вплоть до ареста автомобиля. При первой остановке сотрудниками ГИБДД начнутся проблемы, вплоть до ареста автомобиля.

Что делать? 31.12.19

Купил машину, а номера оказались в розыске

Можно ли поставить на учет битую машину. Поставить на учет битую машину можно. В нормативных документах о запрете регистрации такого автомобиля не сказано.

Когда размер повреждений незначительный, например вмятины на кузове, и машина на ходу, ее зарегистрируют без проблем. Главное, чтобы вин-номер и другие номера совпадали с данными в ПТС.

Если автомобиль не на ходу, то в ГИБДД его нужно доставить на эвакуаторе. Такой автомобиль тоже зарегистрируют при наличии всех документов.

Но может возникнуть сложность при оформлении ОСАГО. Если срок действия диагностической карты еще не истек, полис оформят. Но если техосмотра нет или он делался больше года назад, нужно везти автомобиль на станцию техосмотра. И там уже решают, пройдет машина осмотр или нет. Не будет техосмотра — не будет полиса ОСАГО, а значит, и регистрации в ГИБДД.

Теоретически можно попробовать отремонтировать машину в 10-дневный срок и пройти техосмотр. Но если не успеть, потом при регистрации выпишут штраф, но машину зарегистрируют.

Как зарегистрировать автомобиль

  1. Внесите в ПТС данные о новом собственнике и оформите полис ОСАГО.
  2. Соберите документы: паспорт нового собственника, доверенность и паспорт доверенного лица — если регистрировать авто будет представитель по доверенности, — ПТС, СТС прежнего водителя, договор купли-продажи или другой правоустанавливающий документ, полис ОСАГО.
  3. Подайте заявление в ГИБДД через госуслуги и уплатите госпошлину со скидкой 30%.
  4. Предоставьте необходимые документы и чистый автомобиль в ГИБДД.

Действительность ПТС старого образца при постановке автомобиля на учет

В соответствии с п. 24 Административного регламента Министерства внутренних дел Российской Федерации по предоставлению государственной услуги по регистрации автомототранспортных средств и прицепов, утвержденного приказом МВД России от 07.08.2013 N 605, государственная услуга не предоставляется по следующим основаниям:

- представление документов и (или) сведений, не соответствующих требованиям законодательства РФ, а также содержащих недостоверную информацию;

- представление транспортных средств, изготовленных в Российской Федерации, в том числе из составных частей конструкций, предметов дополнительного оборудования, запасных частей и принадлежностей, или ввозимых на ее территорию сроком более чем на шесть месяцев, без представления документов, подтверждающих проведение их сертификации в соответствии с законодательством РФ, либо подтверждающих их выпуск на территории Таможенного союза без ограничений по их пользованию и распоряжению или с таможенными ограничениями, установленными таможенными органами;

- представление транспортных средств, конструкция которых или внесенные в конструкцию изменения не соответствуют требованиям законодательства РФ в области обеспечения безопасности дорожного движения или сведениям, указанным в представленных документах;

- обнаружены признаки скрытия, подделки, изменения, уничтожения идентификационных номеров транспортных средств, номеров узлов и агрегатов (кузова, рамы, кабины, двигателя) идентифицирующих транспортное средство, либо подделки представленных документов, несоответствия транспортных средств и номерных агрегатов сведениям, указанным в представленных документах, или регистрационным данным, а также при наличии сведений о нахождении транспортных средств, номерных агрегатов в розыске или представленных документов в числе утраченных (похищенных), за исключением транспортных средств с измененной маркировкой транспортных средств и номерных агрегатов в результате естественного износа, коррозии, ремонта или возвращенных собственникам или владельцам после хищения, при условии их идентификации;

- неисполнение владельцами транспортных средств установленной законодательством РФ обязанности по страхованию гражданской ответственности;

- наличие запретов и ограничений на совершение регистрационных действий, наложенных в соответствии с законодательством РФ;

- отсутствие в паспорте транспортного средства отметки об уплате утилизационного сбора или об основании неуплаты утилизационного сбора в соответствии с п. 6 ст. 24.1 Федерального закона от 24.06.1998 N 89-ФЗ "Об отходах производства и потребления" или об обязательстве обеспечить последующее безопасное обращение с отходами, образовавшимися в результате утраты транспортными средствами своих потребительских свойств, взятом на себя организацией - изготовителем колесных транспортных средств, включенной на момент выдачи паспорта транспортного средства в реестр организаций - изготовителей колесных транспортных средств, принявших обязательство обеспечить последующее безопасное обращение с отходами, образовавшимися в результате утраты транспортными средствами своих потребительских свойств, предусмотренный Правилами принятия организациями - изготовителями колесных транспортных средств обязательства обеспечить последующее безопасное обращение с отходами, образовавшимися в результате утраты указанными транспортными средствами своих потребительских свойств, утвержденными постановлением Правительства РФ от 30.08.2012 N 870 "Об утилизационном сборе в отношении колесных транспортных средств", за исключением колесных транспортных средств, на которые паспорта транспортных средств выданы до 1 сентября 2012 г.;

- наличие в паспорте транспортного средства соответствующего колесного транспортного средства отметки о принятии обязательства организацией - изготовителем колесных транспортных средств, не включенной на дату выдачи паспорта в реестр организаций - изготовителей колесных транспортных средств, принявших обязательство обеспечить последующее безопасное обращение с отходами, образовавшимися в результате утраты транспортными средствами своих потребительских свойств, предусмотренный Правилами принятия организациями - изготовителями колесных транспортных средств обязательства обеспечить последующее безопасное обращение с отходами, образовавшимися в результате утраты указанными транспортными средствами своих потребительских свойств, утвержденными постановлением Правительства РФ "Об утилизационном сборе в отношении колесных транспортных средств", обеспечить последующее безопасное обращение с отходами, образовавшимися в результате утраты колесными транспортными средствами своих потребительских свойств, за исключением колесных транспортных средств, на которые паспорта транспортных средств выданы до 1 сентября 2012 г.;

- если при изменении регистрационных данных колесных транспортных средств, связанных с заменой номерных агрегатов, представлены номерные агрегаты с транспортных средств, за которые ранее не осуществлено взимание утилизационного сбора в отношении колесных транспортных средств или по которым организацией - изготовителем транспортных средств не принято обязательство обеспечить последующее безопасное обращение с отходами, образовавшимися в результате утраты указанными транспортными средствами своих потребительских свойств, за исключением номерных агрегатов, использовавшихся в комплекте колесных транспортных средств, паспорта на которые выданы до 1 сентября 2012 г.;

- невозможность идентификации транспортного средства вследствие замены рамы, кузова или составляющей части конструкции, повлекшей утрату идентификационного номера, нанесенного изготовителем транспортного средства при его выпуске в обращение;

- наличие сведений о смерти физического лица, либо сведений о прекращении деятельности юридического лица (физического лица, осуществляющего деятельность в качестве индивидуального предпринимателя), являющихся собственниками транспортных средств;

- неуплата государственной пошлины либо отсутствие сведений об уплате;

- признание недействительным паспорта транспортного средства.

Выданный ПТС признается недействительным подразделением Госавтоинспекции по месту регистрации транспортного средства в случае, если впоследствии документы, на основании которых выдан этот ПТС, признаются поддельными (подложными) либо недействительными (необоснованно выданными).

Согласно пп. "а" п. 2 решения Коллегии Евразийской экономической комиссии от 22.09.2015 N 122 "Об утверждении Порядка функционирования систем электронных паспортов транспортных средств (электронных паспортов шасси транспортных средств) и электронных паспортов самоходных машин и других видов техники" до 1 июля 2018 г. допускается оформление паспортов транспортных средств (паспортов шасси транспортных средств) по форме и в соответствии с правилами, которые установлены законодательством государства - члена Евразийского экономического союза.

При желании любой собственник автомобиля может поменять бумажный паспорт транспортного средства на электронный.

При этом бумажный вариант ПТС может использоваться до тех пор, пока в нем не закончится место для новых собственников.

В вашем случае ПТС не утратил юридической силы. Отказ в регистрации вы можете обжаловать в судебном порядке.

Страница не найдена

Документы

Моя библиотека

раз
    • Моя библиотека
    "" Настройки файлов cookie

    Networking 101: Безопасность транспортного уровня (TLS) Сеть через браузер (O'Reilly)

    Введение

    Протокол SSL был первоначально разработан в Netscape для обеспечения безопасность транзакций электронной торговли в Интернете, которая требует шифрования для защищать личные данные клиентов, а также аутентификацию и целостность гарантии для обеспечения безопасной транзакции.Для этого SSL протокол был реализован на уровне приложений, непосредственно поверх TCP (Рисунок 4-1), что позволяет протоколы над ним (HTTP, электронная почта, обмен мгновенными сообщениями и многие другие) для работать без изменений, обеспечивая безопасность связи, когда общение по сети.

    При правильном использовании SSL сторонний наблюдатель может только сделать вывод конечные точки подключения, тип шифрования, а также частоту и приблизительный объем отправленных данных, но не может читать или изменять какие-либо фактические данные.Рисунок 4-1. Безопасность транспортного уровня (TLS)

    Когда протокол SSL был стандартизирован IETF, он был переименован к безопасности транспортного уровня (TLS). Многие используют имена TLS и SSL взаимозаменяемы, но технически они разные, поскольку каждый описывает другую версию протокола.

    SSL 2.0 был первой публично выпущенной версией протокола, но он был быстро заменен на SSL 3.0 из-за ряда обнаруженных средств защиты недостатки.Поскольку протокол SSL был проприетарным для Netscape, IETF предприняли попытку стандартизировать протокол, в результате чего появился RFC 2246, который был опубликован в январе 1999 года и стал известен как TLS 1.0. С затем IETF продолжил итерацию протокола для решения недостатки безопасности, а также расширение ее возможностей: TLS 1.1 (RFC 4346) был опубликован в апреле 2006 г., TLS 1.2 (RFC 5246) в августе 2008 г. и работает сейчас ведется определение TLS 1.3.

    При этом не позволяйте обилию номеров версий вводить вас в заблуждение: ваши серверы всегда должны отдавать предпочтение и согласовывать последнюю стабильную версию протокола TLS для обеспечения максимальной безопасности, возможностей и гарантии исполнения.Фактически, некоторые критически важные для производительности функции, такие как как HTTP / 2, явно требует использования TLS 1.2 или выше и прерывает в противном случае связь. Хорошая безопасность и производительность идут рука об руку.

    TLS был разработан для работы поверх надежного транспортного протокола. типа TCP. Однако он также был адаптирован для работы с дейтаграммами. протоколы, такие как UDP. Безопасность на транспортном уровне дейтаграмм (DTLS) протокол, определенный в RFC 6347, основан на протоколе TLS и может предоставить аналогичные гарантии безопасности при сохранении дейтаграммы модель доставки.

    §Шифрование, аутентификация и целостность

    Протокол TLS предназначен для предоставления трех основных услуг: все приложения, работающие над ним: шифрование, аутентификация и данные честность. Технически вам не обязательно использовать все три в каждом ситуация. Вы можете принять решение о принятии сертификата без подтверждения его подлинность, но вы должны быть хорошо осведомлены о рисках безопасности и последствия этого. На практике безопасное веб-приложение будет использовать все три услуги.

    Шифрование

    Механизм скрытия того, что отправляется с одного хоста на другой.

    Аутентификация

    Механизм проверки действительности предоставленной идентификации материал.

    Целостность

    Механизм обнаружения фальсификации и подделки сообщений.

    Чтобы установить криптографически безопасный канал данных, одноранговые узлы должны договориться о том, какие наборы шифров будут использоваться, и ключи, используемые для шифрования данных.Протокол TLS определяет четко определенный последовательность рукопожатия для выполнения этого обмена, которую мы рассмотрим в подробно в TLS Handshake. Гениальная часть этого рукопожатия и причина, по которой TLS работает в На практике это связано с использованием криптографии с открытым ключом (также известной как криптография с асимметричным ключом), что позволяет одноранговым узлам согласовывать общий секретный ключ без необходимости устанавливать какие-либо предварительные знания о каждом другое, и сделать это по незашифрованному каналу.

    В рамках рукопожатия TLS протокол также позволяет обоим одноранговым узлам подтвердить свою личность. При использовании в браузере это механизм аутентификации позволяет клиенту проверить, что сервер кем он себя называет (например, ваш банк), а не просто притворяется быть получателем, подделав его имя или IP-адрес. Этот проверка основана на установленной цепочке доверия - см. Цепочка доверия и Центры сертификации.Кроме того, сервер также может опционально проверить личность клиента - например, прокси-сервер компании может аутентифицировать всех сотрудников, каждый из которых может иметь свой уникальный сертификат, подписанный компанией.

    Наконец, с шифрованием и аутентификацией, протокол TLS также предоставляет собственный механизм кадрирования сообщений и подписывает каждое сообщение с кодом аутентификации сообщения (MAC). Алгоритм MAC является односторонним. криптографическая хеш-функция (фактически контрольная сумма), ключи к которой согласовываются обоими одноранговыми узлами.Всякий раз, когда отправляется запись TLS, Значение MAC создается и добавляется к этому сообщению, а получатель затем сможет вычислить и проверить отправленное значение MAC, чтобы гарантировать, что сообщение целостность и подлинность.

    В совокупности все три механизма служат основой для безопасного общение в сети. Все современные веб-браузеры поддерживают множество наборов шифров, способных аутентифицировать как клиента, так и сервер, и прозрачно выполнять проверки целостности сообщений для каждого записывать.

    §Прокси, посредники, TLS и новые протоколы на Интернет

    Расширяемость и успех HTTP создали яркую экосистема различных прокси и посредников в сети: кеш серверы, шлюзы безопасности, веб-ускорители, фильтры содержимого и многие другие другие. В некоторых случаях мы знаем об их присутствии (явное прокси), а в других полностью прозрачны до конца Пользователь.

    К сожалению, сам успех и наличие этих серверов создал проблему для всех, кто пытается отклониться от HTTP / 1.Икс протокол любым способом: некоторые прокси-серверы могут просто передавать новый HTTP расширения или альтернативные форматы проводов, которые они не могут интерпретировать, другие могут продолжать слепо применять свою логику, даже если они не должны этого делать, и некоторые, такие как устройства безопасности, могут предполагать злонамеренный умысел, когда здесь ничего нет.

    Другими словами, на практике отклонение от четко определенного семантика HTTP / 1.x на порту 80 часто приводит к ненадежным развертываниям: у некоторых клиентов нет проблем, у других же возникают непредсказуемые и непредсказуемые трудно воспроизводимое поведение - e.g., один и тот же клиент может видеть разные поведения при перемещении между разными сетями.

    Из-за такого поведения появились новые протоколы и расширения HTTP, такие как поскольку WebSocket, HTTP / 2 и другие должны полагаться на установку HTTPS туннель для обхода промежуточных прокси и обеспечения надежного модель развертывания: зашифрованный туннель скрывает данные от всех посредники. Если вы когда-нибудь задумывались, почему большинство руководств по WebSocket скажет вам использовать HTTPS для доставки данных мобильным клиентам, это Почему.

    §HTTPS везде

    Незашифрованная связь - через HTTP и другие протоколы - создает большой количество уязвимостей конфиденциальности, безопасности и целостности. Такой обмены восприимчивы к перехвату, манипуляции и олицетворение и может раскрыть учетные данные пользователей, историю, личность и другая конфиденциальная информация. Наши приложения должны защищать себя, и наши пользователи против этих угроз путем доставки данных по HTTPS.

    HTTPS защищает целостность веб-сайта

    Шифрование предотвращает несанкционированное вмешательство злоумышленников в обмен данные - например, переписывание контента, внедрение нежелательных и вредоносных контент и так далее.

    HTTPS защищает конфиденциальность и безопасность пользователя

    Шифрование не позволяет злоумышленникам прослушивать обмен данные. Каждый незащищенный запрос может раскрыть конфиденциальную информацию о пользователь, и когда такие данные собираются по нескольким сеансам, может использоваться для деанонимности их личности и раскрытия других конфиденциальных Информация.Вся активность в браузере с точки зрения пользователя, следует считать конфиденциальными и конфиденциальными.

    HTTPS обеспечивает широкие возможности в Интернете

    Растущее число новых функций веб-платформы, таких как доступ геолокация пользователей, фотографирование, запись видео, включение офлайн взаимодействие с приложением и многое другое требует явного согласия пользователя, что в очередь, требует HTTPS. Предоставляемые гарантии безопасности и целостности по HTTPS - важные компоненты для обеспечения безопасности пользователя разрешение рабочего процесса и защита своих предпочтений.

    Чтобы продолжить, как Internet Engineering Task Force (IETF) Совет по архитектуре Интернета (IAB) выпустил руководство для разработчиков и разработчиков протоколов, которые настоятельно рекомендуют внедрение HTTPS:

    По мере роста нашей зависимости от Интернета возрастают и риски, и ставки для всех, кто на это полагается. В итоге это наш ответственность как разработчиков приложений, так и пользователей за обеспечение что мы защищаем себя, разрешая HTTPS повсюду.

    Стандарт только для HTTPS опубликованный Управлением управления и бюджета Белого дома, является отличный ресурс для получения дополнительной информации о необходимости HTTPS, и практические советы по его развертыванию.

    §Давайте Зашифровать

    Распространенное возражение и препятствие на пути к широкому распространению HTTPS был требованием для покупки сертификатов у одного из доверенные органы - см. Цепь доверия и Центры сертификации.Проект Let’s Encrypt запущен в 2015 году. решает эту конкретную проблему:

    "Let's Encrypt - бесплатный, автоматизированный и открытый сертификат. авторитет, предоставленный вам Исследовательской группой по интернет-безопасности (ISRG). Цель Let's Encrypt и протокола ACME - позволяют настроить HTTPS-сервер и получить его автоматически получить сертификат, доверенный браузеру, без участия человека вмешательство."

    Посетите веб-сайт проекта, чтобы узнать, как настроить его самостоятельно сайт. Нет никаких ограничений, теперь любой может получить доверенный сертификат для своего сайта, бесплатно.

    §TLS Рукопожатие

    Прежде, чем клиент и сервер смогут начать обмен данными приложения через TLS необходимо согласовать зашифрованный туннель: клиент и сервер должен согласовать версию протокола TLS, выберите ciphersuite и при необходимости проверьте сертификаты.К сожалению, каждый из для этих шагов требуются новые пакеты (рис. 4-2) между клиентом и server, что увеличивает задержку запуска для всех TLS-подключений. Рисунок 4-2. Протокол рукопожатия TLS

    Рисунок 4-2 предполагает то же (оптимистично) Задержка одностороннего "света в волокне" 28 миллисекунд между Новым Йорк и Лондон, как использовалось в предыдущем установлении TCP-соединения Примеры; см. Таблицу 1-1.

    0 мс

    TLS работает через надежный транспорт (TCP), что означает, что мы должны сначала завершите трехстороннее рукопожатие TCP, которое занимает одно полное поездка в оба конца.

    56 мс

    Установив TCP-соединение, клиент отправляет несколько спецификации в виде обычного текста, такие как версия протокола TLS он запущен, список поддерживаемых шифровальных наборов и другие TLS параметры, которые он может захотеть использовать.

    84 мс

    Сервер выбирает версию протокола TLS для дальнейшего связи, выбирает набор шифров из списка, предоставленного клиент, прикрепляет свой сертификат и отправляет ответ обратно клиент.При желании сервер также может отправить запрос на сертификат клиента и параметры для других расширений TLS.

    112 мс

    Предполагая, что обе стороны могут согласовать общую версию и cipher, и клиент доволен сертификатом, предоставленным сервер, клиент инициирует либо RSA, либо ключ Диффи-Хеллмана обмен, который используется для установления симметричного ключа для следующая сессия.

    140 мс

    Сервер обрабатывает параметры обмена ключами, отправленные клиент, проверяет целостность сообщения, проверяя MAC, и возвращает encrypted Finished message back to the client.

    168 мс

    Клиент расшифровывает сообщение согласованным симметричным ключом, проверяет MAC, и если все в порядке, то туннель установлен и данные приложения теперь могут быть отправлены.

    Как видно из приведенного выше обмена, для новых подключений TLS требуется два обходы для «полного рукопожатия» - это плохие новости. Однако в практика, оптимизированные развертывания могут работать намного лучше и обеспечивать согласованное рукопожатие 1-RTT TLS:

    • False Start - это расширение протокола TLS, которое позволяет клиенту и сервер, чтобы начать передачу зашифрованных данных приложения, когда рукопожатие завершено только частично - i.э., однажды ChangeCipherSpec и Finished Сообщения отправлено, но не дожидаясь, пока другая сторона сделает то же самое. Этот оптимизация снижает накладные расходы на рукопожатие для новых подключений TLS к одна поездка туда и обратно; см. Включение ложного запуска TLS.

    • Если клиент ранее связывался с сервером, может использоваться «сокращенное рукопожатие», которое требует одного обхода и также позволяет клиенту и серверу снизить накладные расходы ЦП на повторное использование ранее согласованных параметров для безопасного сеанса; см. сеанс TLS Возобновление.

    Комбинация обеих вышеупомянутых оптимизаций позволяет нам обеспечить согласованное рукопожатие TLS 1-RTT для новых и вернувшихся посетителей, плюс экономия вычислений для сеансов, которые могут быть возобновлены на основе предварительно согласованные параметры сеанса. Обязательно воспользуйтесь преимуществами эти оптимизации в ваших развертываниях.

    Одна из целей разработки TLS 1.3 заключается в уменьшении накладных расходов на задержку при настройке безопасного соединение: 1-RTT для новых и 0-RTT для возобновленных сеансов!

    §RSA, Диффи-Хеллман и прямая секретность

    По разным историческим и коммерческим причинам ЮАР рукопожатие было доминирующим механизмом обмена ключами в большинстве TLS развертывания: клиент генерирует симметричный ключ, шифрует его с помощью открытый ключ сервера и отправляет его на сервер для использования в качестве симметричного ключ для установленной сессии.В свою очередь, сервер использует свои частные ключ для расшифровки отправленного симметричного ключа, и обмен ключами завершен. С этого момента клиент и сервер используют согласованный симметричный ключ для шифрования их сеанса.

    Рукопожатие RSA работает, но имеет критический недостаток: то же самое. пара открытого и закрытого ключей используется как для аутентификации сервера, так и для зашифровать симметричный сеансовый ключ, отправленный на сервер. В результате, если злоумышленник получает доступ к закрытому ключу сервера и прослушивает обмен, то они могут расшифровать весь сеанс.Даже хуже если злоумышленник в настоящее время не имеет доступа к закрытому ключу, он все еще может записать зашифрованный сеанс и расшифровать его позже как только они получат закрытый ключ.

    Напротив, обмен ключами Диффи-Хеллмана позволяет клиенту и сервер для согласования общего секрета без явной передачи его в рукопожатии: закрытый ключ сервера используется для подписи и проверки рукопожатие, но установленный симметричный ключ никогда не покидает клиент или сервер и не может быть перехвачен пассивным злоумышленником даже если у них есть доступ к закрытому ключу.

    Для любопытных: статья в Википедии об обмене ключами Диффи-Хеллмана - это отличное место, чтобы узнать об алгоритме и его свойствах.

    Лучше всего то, что обмен ключами Диффи-Хеллмана может использоваться для уменьшения риск компрометации прошлых сеансов связи: мы можем создать новый "эфемерный" симметричный ключ как часть каждого обмена ключами и отбросьте предыдущие ключи. В результате, поскольку эфемерные ключи никогда не сообщаются и активно пересматриваются для каждого нового сеанс, в худшем случае злоумышленник может скомпрометировать клиент или сервер и получить доступ к ключам сеанса текущего и будущие сессии.Однако зная закрытый ключ или текущий эфемерный ключ, не помогает злоумышленнику расшифровать любой из предыдущих сеансы!

    Комбинированный, использование обмена ключами Диффи-Хеллмана и эфемерный ключи сеансов обеспечивают "совершенную прямую секретность" (PFS): компромисс долгосрочных ключей (например, закрытого ключа сервера) не ставит под угрозу прошлые ключи сеанса и не позволяет злоумышленнику расшифровать ранее записанные сеансы. Очень желанная недвижимость, мягко говоря!

    В результате, и это не должно вызывать удивления, RSA рукопожатие сейчас активно отменяется: все популярные браузеры предпочитают шифры, которые обеспечивают прямую секретность (т.е., положитесь на Обмен ключами Диффи-Хеллмана), и в качестве дополнительного стимула может включать определенные оптимизации протокола только тогда, когда прямая секретность доступно - например, Рукопожатие 1-RTT через TLS False Start.

    То есть обратитесь к документации по серверу, чтобы узнать, как включить и разверните прямую секретность! Еще раз, хорошая безопасность и производительность идут рука об руку.

    §Производительность открытого и симметричного ключа Криптография

    Криптография с открытым ключом используется только во время начальной настройки Туннель TLS: сертификаты аутентифицируются и обмен ключами алгоритм выполняется.

    Криптография с симметричным ключом, в которой используется установленный симметричный ключ. затем используется ключ для дальнейшего взаимодействия между клиентом и сервер в сеансе. В основном это делается для того, чтобы повысить производительность - криптография с открытым ключом - это гораздо больше вычислительно дорого. Чтобы проиллюстрировать разницу, если у вас есть OpenSSL установлен на вашем компьютере, вы можете запустить следующие тесты:

    • $> скорость openssl ecdh

    • $> скорость openssl aes

    Обратите внимание, что единицы между двумя тестами не являются напрямую сравнимо: тест Диффи-Хеллмана на эллиптических кривых (ECDH) дает сводная таблица операций в секунду для разных размеров ключей, а Производительность AES измеряется в байтах в секунду.Тем не менее, это должно быть легко увидеть, что операции ECDH намного больше вычислительно дорого.

    Точные значения производительности значительно различаются в зависимости от используемого оборудование, количество ядер, версия TLS, конфигурация сервера и другие факторы. Не поддавайтесь устаревшим тестам! Всегда запускайте тесты производительности на вашем собственном оборудовании и обратитесь к разделу «Уменьшение вычислительных ресурсов». Затраты на дополнительный контекст.

    § Согласование протокола уровня приложений (ALPN)

    Два сетевых узла могут захотеть использовать собственный протокол приложения для общаться друг с другом.Один из способов решить эту проблему - определить протокол заранее, назначьте ему известный порт (например, порт 80 для HTTP, порт 443 для TLS) и настройте все клиенты и серверы для использования Это. Однако на практике это медленный и непрактичный процесс: каждый назначение портов должно быть одобрено и, что еще хуже, межсетевые экраны и другие посредники часто разрешают трафик только на порты 80 и 443.

    В результате, чтобы обеспечить простое развертывание пользовательских протоколов, мы должны повторно использовать порты 80 или 443 и использовать дополнительный механизм для согласования протокол приложения.Порт 80 зарезервирован для HTTP, а HTTP Спецификация предоставляет специальный поток обновления для этого очень цель. Однако использование Обновление может добавить дополнительные сетевой обход задержки, и на практике часто ненадежен в наличие множества посредников; см. Прокси, Посредники, TLS и новые протоколы в Интернете.

    Решение, как вы уже догадались, использовать порт 443, который зарезервирован. для безопасных сеансов HTTPS, работающих через TLS.Использование сквозного зашифрованный туннель скрывает данные от промежуточных прокси и обеспечивает быстрый и надежный способ развертывания новых протоколов приложений. Однако нам все еще нужен другой механизм для согласования протокола, который будет использоваться в сеансе TLS.

    Application Layer Protocol Negotiation (ALPN), как следует из названия, - это расширение TLS, которое удовлетворяет эту потребность. Расширяет TLS рукопожатие (рисунок 4-2) и позволяет партнерам согласовывать протоколы без дополнительных обходов.В частности, процесс выглядит следующим образом:

    • Клиент добавляет новое поле ProtocolNameList , содержащий список поддерживаемых протоколов приложений, в ClientHello сообщение.

    • Сервер проверяет поле ProtocolNameList и возвращает поле ProtocolName , указывающее выбранный протокол как часть сообщения ServerHello .

    Сервер может ответить только одним именем протокола, и если он не поддерживает то, что запрашивает клиент, тогда он может выбрать прервать соединение. В результате, как только рукопожатие TLS завершается, оба безопасного туннеля установлены, и клиент и сервер находятся в соглашение о том, какой протокол приложения будет использоваться; клиент и сервер может немедленно начать обмен сообщениями через согласованный протокол.

    §История и взаимосвязь NPN и ALPN

    Next Protocol Negotiation (NPN) - это расширение TLS, которое было разработан в рамках программы SPDY в Google, чтобы обеспечить эффективную согласование протокола приложения во время рукопожатия TLS. Звук привычный? Конечный результат функционально эквивалентен ALPN.

    ALPN - это пересмотренная и одобренная IETF версия расширения NPN. В NPN сервер объявлял, какие протоколы он поддерживает, а затем клиент выбрал и подтвердил протокол.В ALPN этот обмен было отменено: теперь клиент указывает, какие протоколы он поддерживает, Затем сервер выбирает и подтверждает протокол. Обоснование изменение состоит в том, что это приводит к более близкому согласованию ALPN с другие стандарты согласования протоколов.

    Короче говоря, ALPN является преемником NPN.

    §Имя сервера Индикация (СНИ)

    Зашифрованный туннель TLS может быть установлен между любыми двумя TCP одноранговые узлы: клиенту необходимо знать только IP-адрес другого однорангового узла. чтобы установить соединение и выполнить рукопожатие TLS.Однако что, если сервер хочет разместить несколько независимых сайтов, каждый со своим Сертификат TLS на том же IP-адресе - как это работает? Обманывать вопрос; это не так.

    Чтобы решить предыдущую проблему, указание имени сервера (SNI) в протокол TLS было введено расширение, которое позволяет клиенту чтобы указать имя хоста, к которому клиент пытается подключиться как часть рукопожатия TLS. В свою очередь, сервер может проверять SNI. имя хоста, отправленное в сообщении ClientHello , выберите соответствующий сертификат и завершите рукопожатие TLS для желаемого хозяин.

    §TLS, HTTP и Выделенные IP-адреса

    Рабочий процесс TLS + SNI идентичен заголовку Host реклама в HTTP, где клиент указывает имя хоста сайт, который он запрашивает: один и тот же IP-адрес может содержать много разных домены, и SNI и Host необходимы для устранить неоднозначность между ними.

    К сожалению, некоторые старые клиенты (например, большинство запущенных версий IE в Windows XP, Android 2.2 и другие) не поддерживают SNI. Как результат, если вам нужно предоставить TLS таким клиентам, то вам может понадобиться выделенный IP-адрес для каждого хоста.

    § Возобновление сеанса TLS

    Дополнительная задержка и вычислительные затраты полного рукопожатия TLS налагают серьезное снижение производительности на все приложения, требующие безопасное общение. Чтобы снизить некоторые затраты, TLS предоставляет механизм для возобновления или обмена данными согласованного секретного ключа между несколько подключений.

    §Идентификаторы сеанса

    Первый механизм возобновления идентификаторов сеанса (RFC 5246) был введенный в SSL 2.0, который позволял серверу создавать и отправлять 32-байтовый идентификатор сеанса как часть его ServerHello сообщение во время полного согласования TLS, которое мы видели ранее. С идентификатор сеанса на месте, и клиент, и сервер могут хранить предварительно согласованные параметры сеанса - с ключом по идентификатору сеанса - и повторное использование их для последующего сеанса.

    В частности, клиент может включить идентификатор сеанса в ClientHello сообщение, чтобы указать серверу, что он все еще помнит согласованный набор шифров и ключи из предыдущих рукопожатие и может использовать их повторно. В свою очередь, если сервер может найти параметры сеанса, связанные с объявленным идентификатором, в его cache, тогда может произойти сокращенное рукопожатие (рис. 4-3). В противном случае полный требуется согласование нового сеанса, которое приведет к созданию нового сеанса Я БЫ.Рисунок 4-3. Сокращенное рукопожатие TLS протокол

    Использование идентификаторов сеанса позволяет нам удалить полный обход, а также накладные расходы на криптографию с открытым ключом, которая используется для согласовать общий секретный ключ. Это позволяет обеспечить безопасное соединение. устанавливается быстро и без потери безопасности, поскольку мы повторно используем ранее согласованные данные сеанса.

    Возобновление сеанса - важная оптимизация как для HTTP / 1.Икс и развертывания HTTP / 2. Сокращенное рукопожатие исключает полное круговая задержка и значительно снижает вычислительные затраты для обеих сторон.

    Фактически, если браузеру требуется несколько подключений к одному и тому же хост (например, когда используется HTTP / 1.x), он часто намеренно ждет для завершения первого согласования TLS перед открытием дополнительных подключения к тому же серверу, чтобы их можно было "возобновить" и повторно использовать те же параметры сеанса.Если вы когда-нибудь смотрели в сети проследить и задаться вопросом, почему вы редко видите несколько TLS на одном хосте переговоры в полете, вот почему!

    Однако одно из практических ограничений идентификаторов сеансов механизм - это требование к серверу для создания и поддержки кеш сеанса для каждого клиента. Это приводит к нескольким проблемам на сервер, который может видеть десятки тысяч или даже миллионы уникальных подключений каждый день: потребляемая память для каждого открытого TLS-соединения, требование для кеширования идентификаторов сеансов и политик выселения, а также нетривиальные задачи развертывания для популярных сайтов с большим количеством серверов, который в идеале должен использовать общий кеш сеанса TLS для наилучшего представление.

    Ни одна из вышеперечисленных проблем не может быть решена, и многие сайты с высокой посещаемостью сегодня успешно используют идентификаторы сеансов. Но для любого развертывания с несколькими серверами идентификаторы сеанса потребуют осторожное мышление и системная архитектура, чтобы кеш рабочей сессии.

    §Билеты на сеанс

    Для решения этой проблемы при развертывании сеанса TLS на стороне сервера. кеши, механизм замены "Session Ticket" (RFC 5077) был введено, что устраняет требование к серверу сохранять состояние сеанса для каждого клиента.Вместо этого, если клиент указывает, что он поддерживает билеты сеанса, сервер может включать новый сеанс Запись билета , которая включает все согласованные данные сеанса зашифровано секретным ключом, известным только серверу.

    Этот билет сеанса затем сохраняется клиентом и может быть включен в расширении SessionTicket внутри ClientHello сообщение следующего сеанса. Таким образом, все данные сеанса хранятся только на клиенте, но билет по-прежнему в безопасности потому что он зашифрован ключом, известным только серверу.

    Идентификаторы сеанса и механизмы билета сеанса соответственно, обычно называемые сессионное кеширование и возобновления без гражданства механизмов. Главное улучшение возобновление без сохранения состояния - это удаление кеша сеанса на стороне сервера, что упрощает развертывание, требуя от клиента предоставления билет сеанса при каждом новом подключении к серверу, то есть до тех пор, пока срок действия билета истек.

    На практике развертывание билетов сеанса в наборе серверы с балансировкой нагрузки также требуют тщательного мышления и систем архитектура: все серверы должны быть инициализированы одним и тем же сеансом ключ, и требуется дополнительный механизм, чтобы периодически и безопасно повернуть общий ключ на всех серверах.

    §Цепь Доверительных и Сертификационных Центров

    Аутентификация является неотъемлемой частью установления каждого TLS. связь.Ведь можно вести разговор за зашифрованный туннель с любым партнером, включая злоумышленника, и если мы не сможем убедитесь, что хозяин, с которым мы говорим, тот, которому мы доверяем, тогда все работа по шифрованию могла быть напрасной. Чтобы понять, как мы можем проверить идентичность партнера, давайте рассмотрим простой рабочий процесс аутентификации между Алисой и Бобом:

    • И Алиса, и Боб генерируют свои собственные открытый и закрытый ключи.

    • И Алиса, и Боб скрывают свои закрытые ключи.

    • Алиса делится своим открытым ключом с Бобом, а Боб делится своим с Алиса.

    • Алиса создает новое сообщение для Боба и подписывает его. закрытый ключ.

    • Боб использует открытый ключ Алисы для проверки предоставленного сообщения. подпись.

    Доверие - ключевой компонент предыдущего обмена.Конкретно, шифрование с открытым ключом позволяет нам использовать открытый ключ отправителя для убедитесь, что сообщение было подписано правильным закрытым ключом, но решение об утверждении отправителя по-прежнему основано на доверии. В только что показанный обмен, Алиса и Боб могли бы обменяться своими общедоступными при личной встрече, и поскольку они хорошо знают друг друга, они уверены, что их обмен не был скомпрометирован самозванец - возможно, они даже подтвердили свою личность через другого, секретное (физическое) рукопожатие, которое они установили ранее!

    Затем Алиса получает сообщение от Чарли, которого она никогда не видела. но который утверждает, что является другом Боба.Фактически, чтобы доказать, что он дружив с Бобом, Чарли попросил Боба подписать свой открытый ключ с помощью закрытый ключ и прикрепил эту подпись к своему сообщению (рис. 4-4). В этом случае Алиса сначала проверяет Подпись Боба на ключе Чарли. Она знает открытый ключ Боба и поэтому возможность проверить, действительно ли Боб подписал ключ Чарли. Потому что она доверяет Решение Боба проверить Чарли, она принимает сообщение и выполняет аналогичная проверка целостности сообщения Чарли, чтобы убедиться, что это так, действительно, от Чарли.Рисунок 4-4. Цепочка доверия для Алисы, Боб, и Чарли

    Мы только что создали цепочку доверия: Алиса доверяет Боб, Боб доверяет Чарли, и в результате транзитивного доверия Алиса решает доверять Чарли. Пока никто в цепочке не скомпрометирован, это позволяет нам создавать и расширять список доверенных лиц.

    Аутентификация в Интернете и в вашем браузере выполняется точно так же процесс, как показано. Это означает, что на этом этапе вы должны спросить: кому доверяет ваш браузер и кому вы доверяете, когда используете браузер? На этот вопрос есть как минимум три ответа:

    Сертификаты, указанные вручную

    Каждый браузер и операционная система предоставляет вам механизм вручную импортируйте любой сертификат, которому вы доверяете.Как получить сертификат и проверка его целостности полностью зависит от вас.

    Центры сертификации

    Центр сертификации (ЦС) - это доверенная третья сторона, которая доверяет как субъект (владелец) сертификата, так и сторона полагаясь на сертификат.

    Браузер и операционная система

    Каждая операционная система и большинство браузеров поставляются со списком известные центры сертификации.Таким образом, вы также доверяете поставщикам. этого программного обеспечения, чтобы предоставить и поддерживать список доверенных сторон.

    На практике было бы нецелесообразно хранить и вручную проверять каждый и каждый ключ для каждого веб-сайта (хотя вы можете, если так наклонный). Следовательно, наиболее распространенным решением является использование сертификата. органы (ЦС), которые выполняют эту работу за нас (рис. 4-5): браузер указывает, каким ЦС доверять (корневые центры сертификации), а затем на них ложится бремя проверки каждого сайта, который они подписать, а также проверить и убедиться, что эти сертификаты не используются неправомерно или скомпрометирован.Если безопасность любого сайта с сертификатом ЦС нарушено, то этот ЦС также обязан отозвать скомпрометированный сертификат. Рисунок 4-5. Подписание ЦС цифровых сертификаты

    Каждый браузер позволяет вам проверять цепочку доверия вашего безопасного соединение (рис. 4-6), обычно доступное, щелкнув на значке замка рядом с URL-адресом. Рисунок 4-6. Цепочка сертификатов доверия для igvita.com (Google Chrome, версия 25)

    • igvita.com сертификат подписан StartCom Class 1 Primary Промежуточный сервер.

    • Сертификат первичного промежуточного сервера StartCom Class 1 подписан Центром сертификации StartCom.

    • StartCom Certification Authority - это признанный корневой сертификат. орган власти.

    "Якорем доверия" для всей цепочки является корневой сертификат. авторитет, которым в только что показанном случае является Сертификат StartCom Орган власти.Каждый браузер поставляется с предварительно инициализированным списком доверенных центры сертификации ("корни"), и в этом случае браузер доверяет и может проверить корневой сертификат StartCom. Следовательно, через транзитивная цепочка доверия к браузеру, поставщику браузера и Центр сертификации StartCom, мы расширяем доверие до места назначения сайт.

    §Прозрачность сертификата

    Каждый поставщик операционной системы и каждый браузер предоставляют общедоступную список всех центров сертификации, которым они доверяют по умолчанию.Использовать ваша любимая поисковая система, чтобы найти и изучить эти списки. В практики, вы обнаружите, что большинство систем полагается на сотни проверенных центры сертификации, что также является частой жалобой на система: большое количество доверенных центров сертификации создает большую поверхность для атак область против цепочки доверия в вашем браузере.

    Хорошая новость - Сертификат Проект прозрачности работает над устранением этих недостатков, предоставляя структура - общедоступный журнал - для мониторинга и аудита выпуска всех новые сертификаты.Посетите веб-сайт проекта, чтобы узнать больше.

    § Отзыв сертификата

    Иногда издателю сертификата необходимо отозвать или признать сертификат недействительным по ряду возможных причин: закрытый ключ сертификата был скомпрометирован, сертификат сам авторитет был скомпрометирован, или из-за множества более мягких такие причины, как заменяющий сертификат, изменение принадлежности и т. д. на. Для решения этой проблемы сами сертификаты содержат инструкции (Рисунок 4-7) о том, как проверьте, не были ли они отозваны.Следовательно, чтобы гарантировать, что цепочка доверия не скомпрометирован, каждый одноранговый узел может проверить статус каждого сертификата с помощью следуя встроенным инструкциям вместе с подписями, так как это проверяет цепочку сертификатов. Рисунок 4-7. Инструкции CRL и OCSP для igvita.com (Google Chrome, версия 25)

    §Сертификат Список отзыва (CRL)

    Список отозванных сертификатов (CRL) определяется RFC 5280 и определяет простой механизм проверки статуса каждого сертификата: каждый центр сертификации ведет и периодически публикует список серийных номеров отозванных сертификатов.Любой, кто пытается подтвердить сертификат затем может загрузить список отзыва, кэшировать его и проверьте наличие в нем определенного серийного номера - если он присутствует, то он был отозван.

    Этот процесс прост и понятен, но он имеет ряд ограничения:

    • Растущее число отзывов означает, что список CRL будет становятся только длиннее, и каждый клиент должен получить весь список серийные номера.

    • Нет механизма мгновенного уведомления о сертификате отзыв - если CRL был кэширован клиентом до сертификат был отозван, то CRL будет считать отозванным сертификат действителен до истечения срока действия кеша.

    • Необходимость получить последний список CRL из CA может блокировать проверка сертификата, что может значительно увеличить задержку Рукопожатие TLS.

    • Получение CRL может завершиться ошибкой по разным причинам, и в таких случаях поведение браузера не определено. Большинство браузеров рассматривают такие случаев как «мягкий сбой», позволяя продолжить проверку - да, ой.

    §Онлайн Протокол статуса сертификата (OCSP)

    Чтобы устранить некоторые ограничения механизма CRL, Online Протокол статуса сертификата (OCSP) был введен RFC 2560, который предоставляет механизм для выполнения проверки в реальном времени статуса сертификат.В отличие от файла CRL, который содержит все отозванные серийные номера номеров, OCSP позволяет клиенту запрашивать базу данных сертификатов CA непосредственно для только серийного номера, о котором идет речь, при проверке цепочка сертификатов.

    В результате механизм OCSP потребляет меньше полосы пропускания и может для обеспечения проверки в реальном времени. Однако требование выполнить Запросы OCSP в реальном времени создают свой собственный набор проблем:

    • CA должен быть в состоянии обрабатывать нагрузку запросов в реальном времени.

    • Центр сертификации должен гарантировать, что служба работает и доступна по всему миру. всегда.

    • Запросы OCSP в реальном времени могут нарушить конфиденциальность клиента, поскольку CA знает, какие сайты посещает клиент.

    • Клиент должен блокировать запросы OCSP во время проверки цепочка сертификатов.

    • Поведение браузера снова не определено и обычно приводит к «мягкому сбою», если выборка OCSP завершается неудачно из-за сети тайм-аут или другие ошибки.

    В качестве реальной точки данных телеметрия Firefox показывает, что OCSP время ожидания запросов составляет 15% времени, и добавьте примерно 350 мс до подтверждения TLS в случае успеха - см. Hpbn.co/ocsp-performance.

    §ОССП Сшивание

    По причинам, указанным выше, ни отзыва CRL, ни OSCP механизмы предлагают гарантии безопасности и производительности, которые мы желаем для наших приложений.Однако не отчаивайтесь, ведь сшивание OCSP (RFC 6066, расширение «Запрос статуса сертификата») адресовано большинству проблемы, которые мы видели ранее, разрешив выполнение проверки сервер и будет отправлен ("скреплен") как часть рукопожатия TLS на клиент:

    • Вместо клиента, отправляющего запрос OCSP, это сервер который периодически извлекает подписанный OCSP с отметкой времени ответ от CA.

    • Затем сервер добавляет (т. Е. «Скрепляет») подписанный OCSP. ответ как часть рукопожатия TLS, позволяя клиенту проверить как сертификат, так и прикрепленный отзыв OCSP запись, подписанная CA.

    Эта смена ролей безопасна, поскольку скрепленная запись подписана ЦС и может быть проверен клиентом, и предлагает ряд важные преимущества:

    • Клиент не пропускает историю переходов.

    • Клиенту не нужно блокировать и запрашивать сервер OCSP.

    • Клиент может завершить обработку отзыва, если сервер opts-in (путем рекламы флага OSCP "Must-Staple") и проверка не удалась.

    Короче говоря, чтобы получить максимальную безопасность и гарантии производительности, не забудьте настроить и протестировать сшивание OCSP на своих серверах.

    § Протокол записи TLS

    В отличие от уровней IP или TCP ниже, все данные обмениваются внутри Сеанс TLS также создается с использованием четко определенного протокола (рис. 4-8). Запись TLS протокол отвечает за идентификацию различных типов сообщений (рукопожатие, предупреждение или данные через поле «Тип содержимого»), а также обеспечение безопасности и проверка целостности каждого сообщения. Рисунок 4-8. Структура записи TLS

    Типичный рабочий процесс для доставки данных приложения выглядит следующим образом:

    • Протокол записи принимает данные приложения.

    • Полученные данные разбиваются на блоки: максимум 2 14 байт или 16 КБ на запись.

    • Код аутентификации сообщения (MAC) или HMAC добавляется к каждой записи.

    • Данные в каждой записи зашифрованы с использованием согласованного шифра.

    По завершении этих шагов зашифрованные данные передаются в уровень TCP для транспорта.На принимающей стороне тот же рабочий процесс, но в обратном порядке применяется одноранговым узлом: расшифровать запись с использованием согласованного зашифровать, проверить MAC, извлечь и доставить данные в приложение, указанное выше Это.

    Хорошая новость в том, что вся только что показанная работа выполняется TLS. сам слой и полностью прозрачен для большинства приложений. Тем не мение, протокол записи вводит несколько важных выводов, которые мы нужно знать:

    • Максимальный размер записи TLS составляет 16 КБ.

    • Каждая запись содержит 5-байтовый заголовок, MAC (до 20 байтов для SSLv3, TLS 1.0, TLS 1.1 и до 32 байтов для TLS 1.2) и заполнение если используется блочный шифр.

    • Чтобы расшифровать и проверить запись, вся запись должна быть доступный.

    Выбор правильного размера записи для вашего приложения, если у вас есть возможность сделать это может быть важной оптимизацией. Небольшие записи влекут за собой большие накладные расходы ЦП и байтов из-за кадрирования записи и проверки MAC, тогда как большие записи должны быть доставлены и собраны заново Уровень TCP, прежде чем они могут быть обработаны уровнем TLS и доставлены в ваше приложение - перейдите к разделу "Оптимизация размера записи TLS, чтобы получить полный доступ" Детали.

    §Оптимизация для TLS

    Для развертывания вашего приложения через TLS потребуется дополнительная работа, как внутри вашего приложения (например, перенос ресурсов на HTTPS, чтобы избежать смешанный контент), а также от конфигурации инфраструктуры отвечает за доставку данных приложения по TLS. Хорошо настроенный развертывание может иметь огромное положительное значение в наблюдаемых производительность, удобство использования и общие эксплуатационные расходы. Давай нырнем в.

    §Сокращение вычислений Стоимость

    Создание и поддержание зашифрованного канала вводит дополнительные вычислительные затраты для обоих партнеров. В частности, сначала существует асимметричное (с открытым ключом) шифрование, используемое во время TLS рукопожатие (объяснение TLS Handshake). Затем, когда общий секрет установлен, он используется как симметричный ключ для шифрования всех записей TLS.

    Как мы уже отмечали ранее, криптография с открытым ключом требует больше вычислений. дорого по сравнению с криптографией с симметричным ключом, а в первые дни Интернета часто требовали дополнительного оборудования для выполнения «Разгрузка SSL."Хорошая новость в том, что в этом больше нет необходимости и то, что когда-то требовало специального оборудования, теперь можно сделать прямо на ПРОЦЕССОР. Крупные организации, такие как Facebook, Twitter и Google, которые предлагать TLS миллиардам пользователей, выполнять все необходимые TLS переговоры и вычисления в программном обеспечении и на серийном оборудовании.

    В январе этого года (2010 г.) Gmail перешел на использование HTTPS для все по умолчанию. Ранее он был представлен как вариант, но теперь все наши пользователи используют HTTPS для защиты своей электронной почты между их браузерами и Google, все время.Для этого нам не пришлось развертывать никаких дополнительных машин и специального оборудования. На на наших производственных интерфейсных машинах SSL / TLS составляет менее 1% загрузки ЦП, менее 10 КБ памяти на одно соединение и менее более 2% накладных расходов сети. Многие считают, что SSL / TLS требует много процессорного времени, и мы надеемся, что предыдущие цифры (общедоступны для первый раз) поможет это развеять.

    Если вы перестанете читать сейчас, вам нужно запомнить только одно: SSL / TLS больше не требует больших вычислительных затрат.

    Адам Лэнгли (Google)

    Мы развернули TLS в большом масштабе, используя как оборудование, так и программные балансировщики нагрузки. Мы обнаружили, что современные программные TLS реализации, работающие на обычных процессорах, достаточно быстры, чтобы справиться с высокая нагрузка HTTPS-трафика без необходимости использования выделенных криптографическое оборудование. Мы обслуживаем весь наш HTTPS-трафик, используя программное обеспечение, работающее на серийном оборудовании.

    Дуг Бивер (Facebook)

    Эллиптическая кривая Диффи-Хеллмана (ECDHE) - это всего лишь немного больше. дороже RSA для эквивалентного уровня безопасности… На практике развертывания, мы обнаружили, что включение и определение приоритета шифра ECDHE наборы фактически вызвали незначительное увеличение загрузки ЦП. HTTP сообщения поддержки активности и возобновление сеанса означают, что большинство запросов не требуется полное рукопожатие, поэтому операции рукопожатия не влияют на наши Использование процессора.Мы обнаружили, что 75% клиентских запросов Twitter пересылаются соединения установлены с помощью ECDHE. Остальные 25% составляют в основном это старые клиенты, которые еще не поддерживают шифр ECDHE апартаменты.

    Джейкоб Хоффман-Эндрюс (Twitter)

    Чтобы получить наилучшие результаты в собственных развертываниях, извлеките максимум из Сессия TLS Возобновление - разверните, оцените и оптимизируйте процент успеха. Устранение необходимости выполнять дорогостоящую криптографию с открытым ключом операции при каждом рукопожатии значительно уменьшат как вычислительные затраты и время ожидания TLS; нет причин тратить CPU циклы работы, которую вам не нужно делать.

    Говоря об оптимизации циклов ЦП, убедитесь, что ваши серверы в актуальном состоянии с последней версией библиотек TLS! Кроме того к улучшениям безопасности, вы также часто будете видеть производительность преимущества. Безопасность и производительность идут рука об руку.

    §Включение 1-RTT TLS Рукопожатия

    Неоптимизированное развертывание TLS может легко добавить много дополнительных туда и обратно и вводят значительную задержку для пользователя - e.грамм. рукопожатие с несколькими RTT, медленный и неэффективный отзыв сертификата проверки, большие записи TLS, требующие многократного обращения и т. д. Не будь тем сайтом, ты можешь сделать намного лучше.

    Хорошо настроенное развертывание TLS должно добавить не более одного дополнительного туда и обратно для согласования TLS-соединения, независимо от независимо от того, является ли он новым или возобновленным, и избегайте всех других ловушек, связанных с задержкой: настроить возобновление сеанса и включить прямую секретность, чтобы включить TLS Фальстарт.

    Чтобы получить наилучшую сквозную производительность, обязательно проведите аудит обоих собственные и сторонние сервисы и серверы, используемые вашим приложением, включая вашего провайдера CDN. Для быстрого обзора табеля успеваемости популярные серверы и CDN, посетите istlsfastyet.com.

    §Оптимизировать повторное использование подключения

    Лучший способ минимизировать задержку и вычислительные затраты установка новых соединений TCP + TLS предназначена для оптимизации повторного использования соединений.Таким образом снижаются затраты на настройку по запросам и обеспечивается значительная более быстрый опыт для пользователя.

    Убедитесь, что настройки вашего сервера и прокси-сервера позволяют соединения keepalive и аудит настроек тайм-аута соединения. Много популярные серверы устанавливают агрессивные тайм-ауты соединения (например, некоторые Apache версии по умолчанию имеют таймаут 5 секунд), что заставляет много ненужных повторные переговоры. Для достижения наилучших результатов используйте свои журналы и аналитику, чтобы определить оптимальные значения тайм-аута.

    §Предприятие Раннее Прекращение действия

    Как мы обсуждали в Учебнике по латентности и Пропускная способность, мы не сможем ускорить передачу наших пакетов, но мы можем заставить их пройти меньшее расстояние. Разместив наш "край" серверов ближе к пользователю (рис. 4-9), мы можем значительно уменьшить время приема-передачи и общая стоимость рукопожатий TCP и TLS. Рисунок 4-9. Досрочное увольнение клиента связи

    Простым способом добиться этого является использование услуг сеть доставки контента (CDN), которая поддерживает пулы пограничных серверов по всему миру или развернуть свой собственный.Позволяя пользователю разорвать соединение с ближайшим сервером, вместо того, чтобы пересекать через океаны и континентальные ссылки на вашу страну происхождения, клиент получает преимущество «досрочного прекращения» с более короткими поездками туда и обратно. Эта техника одинаково полезен и важен как для статического, так и для динамического контента: static контент также может кэшироваться и обслуживаться пограничными серверами, тогда как динамические запросы могут быть перенаправлены по установленным соединениям из край к исходной точке.

    § Некэшированная исходная выборка

    Метод использования CDN или прокси-сервера для получения ресурс, который может потребоваться настроить для каждого пользователя или содержит другие частные данные, и, следовательно, не является глобально кешируемым ресурсом на edge, обычно известен как «некэшируемая исходная выборка».

    В то время как CDN работают лучше всего, когда данные кэшируются в географически распределенном серверов по всему миру, некэшированная исходная выборка по-прежнему обеспечивает очень важная оптимизация: клиентское соединение прерывается с соседний сервер, который может значительно сократить рукопожатие затраты на задержку.В свою очередь, CDN или ваш собственный прокси-сервер может поддерживать "теплый пул соединений" для передачи данных источнику серверов, что позволяет быстро вернуть ответ клиенту.

    Фактически в качестве дополнительного уровня оптимизации некоторые CDN провайдеры будут использовать соседние серверы на обеих сторонах соединения! Клиентское соединение разрывается на ближайшем узле CDN, который затем передает запрос узлу CDN, расположенному близко к источнику, и затем запрос направляется к источнику.Переход в сети CDN позволяет маршрутизировать трафик по оптимизированной магистрали CDN, что может помочь еще больше уменьшить задержку между клиентом и источником серверы.

    §Настройка кэширования сеанса и возобновления без сохранения состояния

    Прерывание соединения ближе к пользователю - оптимизация это поможет уменьшить задержку для ваших пользователей во всех случаях, кроме одного раза опять же, ни один бит не может быть быстрее, чем бит, который не был отправлен - отправьте меньше битов.Включение Кэширование сеанса TLS и возобновление без сохранения состояния позволяет нам устранить полная обратная задержка и сокращение вычислительных накладных расходов для повторные посетители.

    Идентификаторы сеанса, от которых зависит кеширование сеанса TLS, были введены в SSL 2.0 и имеют широкую поддержку среди большинства клиентов и серверы. Однако, если вы настраиваете TLS на своем сервере, не Предположим, что поддержка сеанса будет включена по умолчанию. На самом деле это больше Обычно он отключен на большинстве серверов по умолчанию, но вам виднее! Дважды проверьте и проверьте конфигурацию вашего сервера, прокси и CDN:

    • Серверы с несколькими процессами или рабочими должны использовать общий кеш сеанса.

    • Размер общего кеша сеанса должен быть настроен в соответствии с вашими уровнями трафика.

    • Должен быть указан период ожидания сеанса.

    • В конфигурации с несколькими серверами маршрутизация одного и того же IP-адреса клиента или одного и того же Идентификатор сеанса TLS на один и тот же сервер - это один из способов обеспечить использование кеша сеанса.

    • Если "липкая" балансировка нагрузки невозможна, общий кеш должен использоваться между разными серверами для обеспечения хорошего сеанса использование кеша, и необходимо установить безопасный механизм для обмена и обновления секретных ключей для расшифровки предоставленного сеанса Билеты.

    • Проверяйте и отслеживайте статистику кеширования сеансов TLS для наилучшего представление.

    На практике и для достижения наилучших результатов вам следует настроить оба сеанса. кэширование и механизмы сеансового билета. Эти механизмы работают вместе чтобы обеспечить лучшее покрытие как для новых, так и для старых клиентов.

    §Включение ложного запуска TLS

    Возобновление сеанса дает два важных преимущества: устраняет дополнительное рукопожатие и обратно для возвращающихся посетителей и снижает вычислительные затраты на рукопожатие, позволяя повторно использовать ранее согласованные параметры сеанса.Однако это не помогает в тех случаях, когда посетитель общается с сервером впервые, или если предыдущая сессия истекла.

    Чтобы получить лучшее из обоих миров - одностороннее рукопожатие для новых и повторных посетителей и экономия вычислительных ресурсов для повторных посетителей - мы можем используйте TLS False Start, которое является дополнительным расширением протокола, позволяет отправителю отправлять данные приложения (рис. 4-10), когда рукопожатие только частично завершено.Рисунок 4-10. Рукопожатие TLS с False Начинать

    False Start не изменяет протокол установления связи TLS, а скорее влияет только на время протокола, когда данные приложения могут быть послал. Интуитивно понятно, как только клиент отправил ClientKeyExchange запись, она уже знает шифрование ключ и может начать передачу данных приложения - остальную часть рукопожатие проводится для подтверждения того, что никто не вмешивался в записи рукопожатия и могут выполняться параллельно.В результате False Пуск позволяет нам сохранить рукопожатие TLS за один проход независимо от того, от того, выполняем ли мы полное или сокращенное рукопожатие.

    §Развертывание TLS Ложь Старт

    Потому что False Start только изменяет время рукопожатия протокол, он не требует никаких обновлений самого протокола TLS и может быть реализован в одностороннем порядке, то есть клиент может просто начать передача зашифрованных данных приложения раньше.Ну вот и теория.

    На практике, даже если TLS False Start должен быть обратным совместим со всеми существующими клиентами и серверами TLS, что позволяет по умолчанию для всех подключений TLS оказалось проблематичным из-за некоторых плохо реализованные сервера. В результате все современные браузеры может использовать TLS False Start, но будет делать это только при определенных условия выполняются сервером:

    • Chrome и Firefox требуют объявления протокола ALPN для присутствовать в рукопожатии сервера, и что набор шифров выбранный сервером обеспечивает прямую секретность.

    • Safari требует, чтобы набор шифров, выбранный сервером обеспечивает прямую секретность.

    • Internet Explorer использует комбинацию черного списка известных сайты, которые ломаются при включении TLS False Start, и тайм-аут для повторения рукопожатия, если квитирование TLS False Start не удалось.

    Чтобы включить ложный запуск TLS во всех браузерах, сервер должен рекламировать список поддерживаемых протоколов через расширение ALPN - e.грамм., "h3, http / 1.1" - и должен быть настроен для поддержки и предпочтения наборов шифров. которые обеспечивают прямую секретность.

    §Оптимизировать размер записи TLS

    Все данные приложения, доставляемые через TLS, передаются в протокол записи (рисунок 4-8). Максимальный размер каждого размер записи составляет 16 КБ, и в зависимости от выбранного шифра каждая запись будет добавить от 20 до 40 байтов служебных данных для заголовка, MAC и необязательная прокладка.Если запись затем умещается в один TCP-пакет, тогда мы также должны добавить служебные данные IP и TCP: 20-байтовый заголовок для IP и 20-байтовый заголовок для TCP без параметров. В результате есть Потенциально от 60 до 100 байт накладных расходов для каждой записи. Для типичный максимальный размер блока передачи (MTU) 1500 байт на провода, эта структура пакета переводит как минимум 6% кадрирования накладные расходы.

    Чем меньше запись, тем выше накладные расходы на кадрирование.Тем не мение, просто увеличить размер записи до максимального размера (16 КБ) - это не обязательно хорошая идея. Если запись охватывает несколько пакетов TCP, тогда уровень TLS должен дождаться прибытия всех TCP-пакетов, прежде чем он может расшифровать данные (рис. 4-11). Если какой-либо из этих пакетов TCP получит потерян, переупорядочен или задросселирован из-за перегрузки, тогда отдельные фрагменты записи TLS необходимо буферизовать перед они могут быть декодированы, что приводит к дополнительной задержке.На практике, эти задержки могут создать значительные узкие места для браузера, которые предпочитает использовать данные в потоковом режиме. Рисунок 4-11. WireShark захватывает 11211-байтовая запись TLS, разделенная на 8 сегментов TCP

    Маленькие записи несут накладные расходы, большие записи вызывают задержку, и там нет единственного значения для "оптимального" размера записи. Вместо этого для Интернета приложения, которые использует браузер, лучшая стратегия - для динамической регулировки размера записи в зависимости от состояния TCP связь:

    • Если соединение новое и окно перегрузки TCP низкое, или когда соединение какое-то время простаивало (см. Медленный старт Restart), каждый пакет TCP должен содержать ровно одну запись TLS, и запись TLS должна занимать полный максимальный размер сегмента (MSS), выделенный TCP.

    • Когда окно перегрузки соединения велико, и если мы передача большого потока (например, потокового видео), размер запись TLS может быть увеличена для охвата нескольких пакетов TCP (до 16 КБ), чтобы снизить нагрузку на кадры и ЦП на клиенте и сервере.

    Если TCP-соединение было в режиме ожидания, и даже если медленный запуск На сервере отключен перезапуск, лучшая стратегия - уменьшить размер записи при отправке нового пакета данных: условия могут изменились с момента последней передачи, и наша цель - свести к минимуму вероятность буферизации на прикладном уровне из-за потери пакеты, переупорядочивание и повторные передачи.

    Использование динамической стратегии обеспечивает максимальную производительность для интерактивный трафик: небольшой размер записи исключает ненужную буферизацию задержка и улучшает время до первого - {HTML-байт,…, видео frame} , а больший размер записи оптимизирует пропускную способность за счет минимизация накладных расходов TLS для долгоживущих потоков.

    Чтобы определить оптимальный размер записи для каждого состояния, начнем с начальный случай нового или незанятого TCP-соединения, когда мы хотим избежать Записи TLS из нескольких пакетов TCP:

    • Выделите 20 байтов для служебных данных кадрирования IPv4 и 40 байтов для IPv6.

    • Выделите 20 байтов для служебных данных кадрирования TCP.

    • Выделите 40 байтов для служебных данных опций TCP (отметки времени, SACK).

    Предполагая, что начальный MTU составляет 1500 байт, остается 1420 байт. для записи TLS, доставленной по IPv4, и 1400 байт для IPv6. Быть в будущем используйте размер IPv6, который оставляет нам 1400 байт для каждую запись TLS и при необходимости отрегулируйте, если ваш MTU ниже.

    Затем решение о том, когда следует увеличить размер записи. и сбросить, если соединение было бездействующим, может быть установлено на основе предварительно настроенные пороги: увеличьте размер записи до 16 КБ после X КБ данных было перенесено, и сбросить запись размер после Y миллисекунд простоя.

    Обычно мы не можем настроить размер записи TLS. управление на прикладном уровне.Вместо этого часто это настройка и иногда постоянная времени компиляции для вашего TLS-сервера. Проверить документации вашего сервера для получения подробной информации о том, как настроить эти ценности.

    § Оптимизация TLS в Google

    По состоянию на начало 2014 г. серверы Google используют небольшие записи TLS, которые подходят в один сегмент TCP для первого 1 МБ данных, увеличьте запись размер до 16 КБ после этого для оптимизации пропускной способности, а затем сбросить размер записи обратно в один сегмент после одной секунды бездействие - вспенить, сполоснуть, повторить.

    Аналогично, если ваши серверы обрабатывают большое количество TLS подключений, то минимизация использования памяти для каждого подключения может быть жизненная оптимизация. По умолчанию популярные библиотеки, такие как OpenSSL будет выделять до 50 КБ памяти на каждое соединение, но, как и в случае размер записи, возможно, стоит проверить документацию или источник код для настройки этого значения. Серверы Google сокращают свои Буферы OpenSSL уменьшаются примерно до 5 КБ.

    §Оптимизировать Цепочка сертификатов

    Проверка цепочки доверия требует, чтобы браузер прошел через цепочку, начиная с сертификата сайта, и рекурсивно проверьте сертификат родителя, пока он не достигнет доверенного корня. Следовательно, это важно, чтобы предоставленная цепочка включала все промежуточные сертификаты. Если какие-либо из них опущены, браузер будет вынужден приостановить работу. процесс проверки и получить недостающие сертификаты, добавив дополнительные поиски DNS, рукопожатия TCP и HTTP-запросы в процесс.

    Как браузер узнает, откуда брать недостающие сертификаты? Каждый дочерний сертификат обычно содержит URL-адрес для родитель. Если URL-адрес опущен, а требуемый сертификат не указан включен, то проверка не удастся.

    И наоборот, не включайте ненужные сертификаты, такие как доверенные корни в вашей цепочке сертификатов - они добавляют ненужные байты. Напомним, что цепочка сертификатов сервера отправляется как часть TLS. рукопожатие, которое, вероятно, происходит через новое TCP-соединение, которое на ранних этапах своего алгоритма медленного старта.Если сертификат размер цепочки превышает начальное окно перегрузки TCP, тогда мы будем непреднамеренно добавить дополнительные обходы к рукопожатию TLS: длина сертификата приведет к переполнению окна перегрузки и вызовет сервер, чтобы остановить и дождаться подтверждения клиента перед продолжением.

    На практике размер и глубина цепочки сертификатов были очень значительными. большие проблемы и проблемы со старыми стеками TCP, которые инициализировали свои начальное окно перегрузки до 4 сегментов TCP - см. Медленный запуск.Для новее развертываний, начальное окно перегрузки увеличено до 10 TCP сегментов и должно быть более чем достаточно для большинства сертификатов цепи.

    Тем не менее, убедитесь, что ваши серверы используют последний стек TCP и настройки, а также оптимизировать и уменьшить размер вашего сертификата цепь. Отправка меньшего количества байтов - это всегда хорошо и стоит оптимизация.

    §Настройка сшивания OCSP

    Каждое новое соединение TLS требует, чтобы браузер проверял подписи отправленной цепочки сертификатов.Однако есть еще одно важный шаг, который мы не можем забыть: браузер также должен проверять что сертификаты не отозваны.

    Для проверки статуса сертификата браузер может использовать один из несколько методов: Список отозванных сертификатов (CRL), Статус онлайн-сертификата Протокол (OCSP) или OCSP Сшивание. У каждого метода есть свои ограничения, но OCSP Stapling обеспечивает, безусловно, лучшие гарантии безопасности и производительности - см. подробности в предыдущих разделах.Обязательно настройте свои серверы на включить (скрепить) ответ OCSP от CA к предоставленному цепочка сертификатов. Это позволит браузеру выполнить проверка отзыва без дополнительных сетевых обходов и с улучшенными гарантии безопасности.

    • ответов OCSP могут иметь размер от 400 до 4000 байт. Привязка этого ответа к вашей цепочке сертификатов увеличит его size - обратите особое внимание на общий размер сертификата цепочка, чтобы она не переполняла начальное окно перегрузки для новых TCP-соединений.

    • Текущие реализации OCSP Stapling допускают только один OCSP ответ должен быть включен, что означает, что браузеру, возможно, придется откат к другому механизму отзыва, если ему нужно проверить другие сертификаты в цепочке - сократите длину своего цепочка сертификатов. В будущем OCSP Multi-Stapling должен решить эту конкретную проблему.

    Самые популярные серверы поддерживают сшивание OCSP.Проверить соответствующие документация по поддержке и инструкции по настройке. Аналогично, если используя или выбирая CDN, убедитесь, что их стек TLS поддерживает и настроен на использование сшивания OCSP.

    §Включить строгую транспортную безопасность HTTP (HSTS)

    HTTP Strict Transport Security - важная политика безопасности механизм, который позволяет источнику объявлять правила доступа совместимому браузер через простой HTTP-заголовок, например « Strict-Transport-Security: max-age = 31536000 ".В частности, он инструктирует пользовательского агента, чтобы соблюдать следующие правила:

    • Все запросы к источнику следует отправлять по HTTPS. Этот включает как навигацию, так и все другие подресурсы того же происхождения запросы - например, если пользователь вводит URL без префикса https пользовательский агент должен автоматически преобразовать его в запрос https; если страница содержит ссылку на не-https ресурс, пользователь агент должен автоматически преобразовать его, чтобы запросить версию https.

    • Если безопасное соединение не может быть установлено, пользователь не разрешено обойти предупреждение и запросить версию HTTP, т.е. источник только HTTPS.

    • max-age указывает время жизни указанного HSTS набор правил в секундах (например, max-age = 31536000 равно 365-дневному время жизни для рекламируемой политики).

    • includeSubdomains указывает, что политика должна применяется ко всем субдоменам текущего происхождения.

    HSTS преобразует источник в пункт назначения, поддерживающий только HTTPS, и помогает защитить приложение от множества пассивных и активных сетей атаки. В качестве дополнительного бонуса он также предлагает хорошую производительность. оптимизация за счет устранения необходимости перенаправления HTTP-to-HTTPS: клиент автоматически перезаписывает все запросы в безопасный источник перед они отправлены!

    Обязательно тщательно протестируйте развертывание TLS перед включением HSTS.После кэширования политики клиентом невозможность согласования Подключение TLS приведет к серьезному отказу, т. Е. пользователь увидит страницу с ошибкой браузера, и продолжить работу не удастся. Это поведение явный и необходимый выбор дизайна для предотвращения сетевых атак от обмана клиентов для получения доступа к вашему сайту без HTTPS.

    Список предварительной загрузки §HSTS

    Механизм HSTS оставляет самый первый запрос источнику незащищены от активных атак - e.грамм. злонамеренная сторона могла понизить рейтинг запроса клиента и предотвратить регистрацию Политика HSTS. Чтобы решить эту проблему, большинство браузеров предоставляют отдельный HSTS список предварительной загрузки ", который позволяет источнику запросить включен в список сайтов с поддержкой HSTS, которые поставляются с браузер.

    Когда вы будете уверены в развертывании HTTPS, подумайте о добавление вашего сайта в список предварительной загрузки HSTS через hstspreload.appspot.com.

    §Включить HTTP Закрепление открытого ключа (HPKP)

    Один из недостатков существующей системы - как обсуждалось в Цепочка доверия и Центры сертификации - мы полагаемся на большое количество доверенные центры сертификации (CA). С одной стороны, это удобно, потому что это означает, что мы можем получить действующий сертификат из широкого круга организаций. Однако это также означает, что любой из эти организации также могут выдать действительный сертификат для наших и любое другое происхождение без их явного согласия.

    Компрометация центра сертификации DigiNotar является одним из несколько громких примеров, когда злоумышленник смог выдать и использовать поддельные, но действительные сертификаты против сотен известных места.

    Public Key Pinning позволяет сайту отправлять HTTP-заголовок, который указывает браузерам запомнить (закрепить) один или несколько сертификатов в свою цепочку сертификатов. Поступая таким образом, он может определить, какие сертификаты или эмитенты должны приниматься браузером на последующие посещения:

    • Источник может закрепить свой листовой сертификат.Это самый безопасная стратегия, потому что вы, по сути, жестко кодируете небольшой набор специальных подписей сертификатов, которые должны быть приняты браузер.

    • Источник может закрепить один из родительских сертификатов в цепочка сертификатов. Например, начало координат может закрепить промежуточный сертификат своего ЦС, который сообщает браузеру, что для этого конкретного происхождения, он должен доверять только сертификатам, подписанным этим конкретный центр сертификации.

    Выбор правильной стратегии, для каких сертификатов закреплять, какие и сколько резервных копий предоставить, продолжительность и другие критерии для развертывания HPKP важны, детализированы и выходят за рамки нашего обсуждения. Проконсультируйтесь с вашей любимой поисковой системой или вашим местным гуру безопасности, чтобы узнать, больше информации.

    HPKP также предоставляет режим «только отчет», который не обеспечивает принудительное выполнение предоставлен PIN-код, но может сообщать об обнаруженных сбоях.Это может быть отличный первый шаг к валидации вашего развертывания и служит механизм выявления нарушений.

    §Обновить содержимое сайта на HTTPS

    Для обеспечения максимальной безопасности и производительности критически важно что сайт фактически использует HTTPS для получения всех своих ресурсов. В противном случае мы столкнемся с рядом проблем, которые поставят под угрозу оба или хуже, сломайте сайт:

    • Смешанное «активное» содержимое (например,грамм. поставлены скрипты и таблицы стилей через HTTP) будет заблокирован браузером и может нарушить функциональность сайта.

    • Смешанный «пассивный» контент (например, изображения, видео, аудио и т. Д., доставляется через HTTP) будет получен, но позволит злоумышленнику наблюдать и делать выводы о действиях пользователей, а также снижать производительность за счет требующие дополнительных подключений и рукопожатий.

    Проверяйте свой контент и обновляйте ресурсы и ссылки, в том числе сторонний контент, чтобы использовать HTTPS.Механизм политики безопасности контента (CSP) может окажут здесь большую помощь, как для выявления нарушений HTTPS, так и для обеспечения соблюдения желаемая политика.

    Content-Security-Policy: обновления-небезопасные-запросы
    Content-Security-Policy-Report-Only: default-src https :;
      report-uri https://example.com/reporting/endpoint
     
    1. Указывает браузеру обновить все (собственные и сторонние) запросы к HTTPS.

    2. Указывает браузеру сообщать о любых нарушениях, не связанных с HTTPS, на назначенная конечная точка.

    CSP предоставляет настраиваемый механизм для управления активам разрешено использовать, и как и откуда они могут быть доставлено. Используйте эти возможности, чтобы защитить свой сайт и пользователей.

    § Контрольный список для выполнения

    Как разработчики приложений, мы защищены от большинства сложность протокола TLS - клиент и сервер выполняют большую часть тяжелая работа от нашего имени.Однако, как мы видели в этой главе, это не означает, что мы можем игнорировать аспекты производительности наших приложения через TLS. Настройка наших серверов для включения критически важного TLS оптимизации и настройки наших приложений, чтобы клиент мог Воспользуйтесь такими функциями, чтобы получить высокие дивиденды: более быстрое рукопожатие, уменьшенная задержка, лучшие гарантии безопасности и многое другое.

    Имея это в виду, краткий контрольный список для включения в повестку дня:

    • Получите максимальную производительность от TCP; см. Оптимизация для TCP.

    • Обновите библиотеки TLS до последней версии и (пере) соберите серверы против них.

    • Включение и настройка кэширования сеанса и возобновления без сохранения состояния.

    • Отслеживайте процент попаданий в кэширование сеанса и настраивайте конфигурацию соответственно.

    • Настройте шифры прямой секретности, чтобы включить ложный запуск TLS.

    • Завершайте сеансы TLS ближе к пользователю, чтобы минимизировать круговые обходы задержки.

    • Используйте динамическое изменение размера записи TLS для оптимизации задержки и пропускная способность.

    • Проверяйте и оптимизируйте размер вашей цепочки сертификатов.

    • Настройте сшивание OCSP.

    • Настройте HSTS и HPKP.

    • Настройте политики CSP.

    • Включить HTTP / 2; см. HTTP / 2.

    §Тестирование и проверка

    Наконец, чтобы проверить и протестировать вашу конфигурацию, вы можете использовать онлайн сервис, такой как Qualys SSL Server Протестируйте ваш общедоступный сервер на предмет общей конфигурации и безопасности. недостатки. Кроме того, вам следует ознакомиться с openssl интерфейс командной строки, который поможет вам проверить все рукопожатие и конфигурация вашего сервера локально.

        $> openssl s_client -state -CAfile root.ca.crt -connect igvita.com:443 
    
      ПОДКЛЮЧЕНО (00000003)
      SSL_connect: до инициализации / подключения
      SSL_connect: SSLv2 / v3 пишет клиенту привет A
      SSL_connect: SSLv3 читает сервер привет A
      глубина = 2 / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing
              / CN = Центр сертификации StartCom
      проверить возврат: 1
      глубина = 1 / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing
              / CN = ЦС первичного промежуточного сервера StartCom класса 1
      проверить возврат: 1
      глубина = 0 / описание = ABjQuqt3nPv7ebEG / C = США
              / CN = www.igvita.com/[email protected]
      проверить возврат: 1
      SSL_connect: SSLv3 читать сертификат сервера A
      SSL_connect: сервер чтения SSLv3 выполнен A
      SSL_connect: обмен ключами клиента записи SSLv3 A
      SSL_connect: спецификация шифра изменения записи SSLv3 A
      SSL_connect: запись SSLv3 завершена A
      SSL_connect: данные сброса SSLv3
      SSL_connect: чтение SSLv3 завершено A
      ---
      Цепочка сертификатов
       0 с: / description = ABjQuqt3nPv7ebEG / C = US
           /CN=www.igvita.com/[email protected]
         i: / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing
           / CN = ЦС первичного промежуточного сервера StartCom класса 1
       1 с: / C = IL / O = StartCom Ltd./ OU = Безопасная подпись цифрового сертификата
           / CN = ЦС первичного промежуточного сервера StartCom класса 1
         i: / C = IL / O = StartCom Ltd./OU=Secure Digital Certificate Signing
           / CN = Центр сертификации StartCom
      ---
      Сертификат сервера
      ----- НАЧАТЬ СЕРТИФИКАТ -----
      ... отрезать ...
      ---
      Имена ЦС сертификатов клиента не отправлены
      ---
      Рукопожатие SSL прочитало 3571 байт и записало 444 байта
      ---
      Новый, TLSv1 / SSLv3, шифр RC4-SHA
      Открытый ключ сервера - 2048 бит
      Поддерживается безопасное повторное согласование
      Сжатие: НЕТ
      Расширение: НЕТ
      SSL-сессия:
          Протокол: TLSv1
          Шифр: RC4-SHA
          Идентификатор сеанса: 269349C84A4702EFA7...
          Идентификатор сеанса-ctx:
          Мастер-ключ: 1F5F5F33D50BE6228A ...
          Key-Arg: Нет
          Время начала: 1354037095
          Тайм-аут: 300 (сек)
          Проверить код возврата: 0 (ок)
      ---
     
    1. Клиент завершил проверку полученной цепочки сертификатов.

    2. Цепочка полученных сертификатов (два сертификата).

    3. Размер полученной цепочки сертификатов.

    4. Выданный идентификатор сеанса для возобновления TLS с отслеживанием состояния.

    В предыдущем примере мы подключаемся к igvita.com через порт TLS по умолчанию (443) и выполните рукопожатие TLS. Поскольку s_client не делает предположения об известных корневых сертификатах, вручную указываем путь к корневому сертификату, который на момент написания является StartSSL Центр сертификации для примера домена.В вашем браузере уже есть общие корневые сертификаты и, таким образом, может проверять цепочку, но s_client не делает таких предположений. Попробуйте опустить корень сертификат, и вы увидите в журнале ошибку проверки.

    Проверка цепочки сертификатов показывает, что сервер отправил два сертификаты, которые в сумме составляют 3571 байт. Также мы можем видеть согласованные переменные сеанса TLS - выбранный протокол, шифр, ключ - и мы можем также убедитесь, что сервер выдал идентификатор сеанса для текущего сессия, которая может быть возобновлена ​​в будущем.

    Как Facebook доводит QUIC до миллиардов

    Мы заменяем протокол де-факто, который Интернет использовал на протяжении десятилетий, на QUIC, последний и самый радикальный шаг, который мы сделали для оптимизации наших сетевых протоколов, чтобы улучшить взаимодействие с пользователями наших сервисов. Сегодня более 75 процентов нашего интернет-трафика использует QUIC и HTTP / 3 (мы называем QUIC и HTTP / 3 вместе как QUIC). QUIC продемонстрировал значительные улучшения в нескольких показателях, включая ошибки запроса, задержку хвоста, размер заголовка ответа и многие другие, которые существенно влияют на опыт пользователей наших приложений.

    Инженерная группа Интернета (IETF) в настоящее время разрабатывает как QUIC, так и HTTP / 3 для стандартизации.

    Что такое QUIC и HTTP / 3?

    Вообще говоря, QUIC является заменой протокола управления передачей (TCP), одного из основных протоколов для интернет-коммуникаций. Первоначально QUIC был разработан Google как Google QUIC или gQUIC и был представлен IETF в 2015 году. С тех пор он был переработан и улучшен более широким сообществом IETF, образуя новый протокол, который мы теперь называем QUIC.HTTP / 3 - это следующая итерация HTTP, стандартного протокола для веб-приложений и серверов. Вместе QUIC и HTTP / 3 представляют собой новейшие и лучшие интернет-протоколы, вобравшие в себя десятилетия передового опыта и уроков, которые мы, Google и сообщество IETF извлекли из работы с протоколами в Интернете .

    QUIC и HTTP / 3 обычно превосходят TCP и HTTP / 2, которые, в свою очередь, превосходят TCP и HTTP / 1.1. TCP и HTTP / 2 впервые представили концепцию, позволяющую одному сетевому соединению поддерживать несколько потоков данных в процессе, называемом мультиплексированием потоков.QUIC и HTTP / 3 делают еще один шаг вперед, позволяя потокам быть по-настоящему независимыми, избегая пугающей блокировки строки TCP, когда потерянные пакеты застревают и замедляют все потоки в соединении.

    QUIC использует современное средство восстановления после потерь, которое позволяет ему работать лучше, чем большинство реализаций TCP в плохих сетевых условиях. TCP также склонен к окостенению, когда становится трудно обновить протокол, потому что сетевые промежуточные ящики, такие как межсетевые экраны, делают предположения о формате пакетов.QUIC избегает этой проблемы, будучи полностью зашифрованным, делая расширяемость протокола первоклассным гражданином и гарантируя возможность внесения улучшений в будущем. QUIC также позволяет использовать новые способы инструментовки, наблюдения и визуализации поведения транспорта с помощью QLOG, формата трассировки на основе JSON, разработанного специально для QUIC.

    Разработка протокола, ориентированная на опыт

    Мы разработали собственную реализацию QUIC под названием mvfst, чтобы быстро протестировать и развернуть QUIC в наших собственных системах.У нас есть история написания и развертывания собственных реализаций протокола, сначала с нашей HTTP-клиент-серверной библиотекой Proxygen, а затем с протоколом Zero, а затем с Fizz, нашей реализацией TLS 1.3. Приложения Facebook используют Fizz и Proxygen для связи с нашими серверами через Proxygen Mobile. Мы также разработали два решения безопасности для TLS, расширение под названием делегированные учетные данные для защиты сертификатов и DNS через TLS для шифрования и аутентификации веб-трафика через TLS.

    Разработка и развертывание нового транспортного протокола с нуля

    Мы хотели, чтобы наш новый протокол легко интегрировался с существующим программным обеспечением и позволял нашим разработчикам работать быстро. В качестве испытательного полигона мы решили развернуть QUIC на большом подмножестве сетевого трафика Facebook, в частности внутреннего сетевого трафика, который включал проксированный публичный трафик на Facebook. Если бы QUIC плохо работал с внутренним трафиком, мы знали, что он, скорее всего, не будет хорошо работать и в более крупном Интернете.

    В дополнение к устранению ошибок и других проблемных форм поведения, эта стратегия позволила нам разработать метод, который делает наш балансировщик сетевой нагрузки полностью осведомленным о QUIC и поддерживает гарантии выпуска нашего балансировщика нагрузки без простоев.

    Имея эту прочную основу, мы перешли к развертыванию QUIC для людей в Интернете. Благодаря дизайну mvfst мы смогли плавно интегрировать поддержку QUIC в Proxygen Mobile.

    Приложение Facebook

    Приложение Facebook было нашей первой целью использования QUIC в Интернете.Facebook имеет развитую инфраструктуру, которая позволяет нам безопасно развертывать ограниченные изменения в приложениях, прежде чем мы представим их миллиардам людей. Мы начали с эксперимента, в котором включили QUIC для динамических запросов GraphQL в приложении Facebook. Это запросы, которые не содержат статического содержимого, такого как изображения и видео, в ответе.

    Наши тесты показали, что QUIC предлагает улучшения по нескольким показателям. Пользователи Facebook испытали уменьшение количества ошибок запросов на 6 процентов, уменьшение задержки на 20 процентов и уменьшение размера заголовка ответа на 5 процентов по сравнению с HTTP / 2.Это оказало каскадное влияние и на другие показатели, указывая на то, что QUIC значительно улучшил опыт людей.

    Однако были и регрессы. Больше всего озадачило то, что, несмотря на то, что QUIC был включен только для динамических запросов, мы наблюдали повышенную частоту ошибок для статического контента, загружаемого с помощью TCP. Основной причиной этого может быть общая тема, с которой мы столкнулись при переходе трафика на QUIC: логика приложения изменяла тип и количество запросов для определенных типов контента в зависимости от скорости и надежности запросов для других типов контента.Таким образом, улучшение одного типа запросов могло иметь пагубные побочные эффекты для других.

    Например, эвристика, которая адаптировала, насколько агрессивно приложение запрашивает новый статический контент с сервера, была настроена таким образом, что создавала проблемы с QUIC. Когда приложение делает запрос, скажем, на загрузку текстового содержимого новостной ленты, оно ожидает, сколько времени займет этот запрос, а затем определяет, сколько запросов изображения / видео нужно сделать оттуда. Мы обнаружили, что эвристика была настроена с произвольными пороговыми значениями, что, вероятно, нормально работало для TCP.Но когда мы перешли на QUIC, эти пороговые значения были неточными, и приложение пыталось запросить слишком много сразу, что в конечном итоге привело к увеличению загрузки ленты новостей.

    Масштабирование

    Следующим шагом было развертывание QUIC для статического контента (например, изображений и видео) в приложениях Facebook. Однако, прежде чем сделать это, мы должны были решить две основные проблемы: эффективность процессора mvfst и эффективность нашей основной реализации контроля перегрузки, BBR.

    До этого момента mvfst был разработан, чтобы помочь разработчикам быстро работать и не отставать от постоянно меняющихся проектов QUIC.Динамические запросы, ответы на которые относительно малы по сравнению со статическими запросами, не требуют значительного использования ЦП и не позволяют контроллеру перегрузки выполнять его работу.

    Чтобы решить эти проблемы, мы разработали инструменты тестирования производительности, которые позволили нам оценить использование ЦП и насколько эффективно наш контроллер перегрузки может использовать сетевые ресурсы. Мы использовали эти инструменты и синтетические нагрузочные тесты QUIC в нашем балансировщике нагрузки, чтобы внести несколько улучшений. Например, одной важной областью была оптимизация скорости передачи UDP-пакетов, чтобы обеспечить более плавную передачу данных.Чтобы улучшить использование ЦП, мы использовали ряд методов, в том числе использование общей разгрузки сегментации (GSO) для эффективной одновременной отправки пакетов UDP-пакетов. Мы также оптимизировали структуры данных и алгоритмы, которые обрабатывают неподтвержденные данные QUIC.

    QUIC для всего контента

    Прежде чем включить QUIC для всего контента в приложении Facebook, мы установили партнерские отношения с несколькими заинтересованными сторонами, включая наших видеоинженеров. Они глубоко понимают важные показатели продукта и помогли нам проанализировать результаты экспериментов в приложении Facebook, когда мы включили QUIC.

    Эксперименты показали, что QUIC оказывает преобразующее влияние на показатели видео в приложении Facebook. Среднее время между повторной буферизацией (MTBR), измеряющее время между событиями буферизации, улучшилось в совокупности до 22 процентов, в зависимости от платформы. Общее количество ошибок при запросах видео сократилось на 8 процентов. Доля видеорекламы снижена на 20 процентов. Несколько других метрик, в том числе мета-метрики, с учетом множества факторов и, в частности, условий выбросов, также были значительно улучшены.QUIC улучшила качество просмотра видео, оказав огромное влияние на сети с относительно более плохими условиями, особенно на развивающихся рынках.

    Но на пути к этим результатам были свои собственные препятствия. Как и в случае с динамическим контентом, мы столкнулись с эвристикой в ​​приложении, настроенной на поведение TCP. Например, у приложений для iOS и Android были разные механизмы оценки доступной пропускной способности загрузки. Эти оценщики иногда переоценивали доступную пропускную способность при использовании QUIC, в результате чего приложение воспроизводило видео более высокого качества, чем может поддерживать сеть, и приводило к остановкам.

    Нам также пришлось настроить и повторить параметры управления потоком. Управление потоком ограничивает объем данных, которые получатель желает буферизовать от отправителя. Приложение Facebook имело статически определенный предел управления потоком для HTTP / 2, который был неявно настроен для TCP и плохо работал с QUIC. Нам потребовалась некоторая экспериментальная итерация, чтобы найти новое оптимальное значение управления потоком.

    Индивидуальные процентильные различия между временем загрузки видео для QUIC и TCP.

    Instagram и не только

    Эффективность

    QUIC в приложении Facebook стала свидетельством его способности улучшать работу пользователей в Интернете, даже в таких сложных и сложных приложениях, как Facebook.В будущем мы планируем продолжать использовать больше существующих функций QUIC, таких как миграция соединения и установление истинного 0-RTT соединения, а также инвестировать в улучшения контроля перегрузки и восстановления потерь.

    Мы также развернули QUIC в приложениях Instagram, используя те же стратегии, что и наше развертывание в Facebook - протестировали его на небольшом проценте трафика Instagram, а затем увеличили масштаб. Сегодня QUIC развернут в Instagram для iOS и Instagram для Android. Обе версии Instagram имеют показатели, которые сравнимы или лучше, чем у приложения Facebook.Facebook и Instagram в Интернете также включают QUIC, поэтому, поскольку все больше веб-браузеров включают поддержку QUIC, как Google недавно сделал для Chrome и Apple сделал для бета-версии Safari, еще больше людей получат выгоду от улучшений. Помимо Instagram, мы считаем, что можем использовать преимущества QUIC для каждого опыта в нашем семействе приложений, при этом QUIC в конечном итоге составляет не только большую часть, но и весь интернет-трафик Facebook.

    IETF планирует завершить работу над протоколом QUIC в качестве документа запроса комментариев (RFC) где-то в 2021 году.Как только это произойдет, еще больше веб-сайтов, приложений и сетевых библиотек начнут предлагать QUIC для общего пользования. В самом ближайшем будущем новые протоколы, такие как QUIC, будут необходимы для разблокировки инновационных интернет-приложений. Для нас QUIC - это отправная точка, с которой мы можем продолжать улучшать взаимодействие людей с Facebook.

    Так много людей внутри и за пределами Facebook сделали это развертывание возможным. Мы хотели бы поблагодарить всех, кто участвовал в рабочей группе IETF QUIC в течение последних нескольких лет, неустанно обсуждая и разрабатывая QUIC.В рабочую группу входит множество людей из самых разных слоев общества, которые создали действительно замечательный протокол за относительно короткий период времени.

    Обзор балансировки нагрузки прокси-сервера

    TCP | Google Cloud

    TCP Proxy Load Balancing - это балансировщик нагрузки обратного прокси, который распределяет TCP трафик, поступающий из Интернета на экземпляры виртуальных машин (ВМ) в вашем Сеть Google Cloud VPC. Когда используешь Балансировка нагрузки TCP-прокси, трафик, поступающий через TCP-соединение, прекращается на уровень балансировки нагрузки, а затем перенаправляется на ближайший доступный бэкэнд используя TCP или SSL.

    TCP Proxy Load Balancing позволяет использовать один IP-адрес для все пользователи по всему миру. Балансировщик нагрузки TCP-прокси автоматически маршрутизирует трафик к бэкэндам, ближайшим к пользователю.

    На уровне Premium можно настроить балансировку нагрузки прокси-сервера TCP как глобальную служба балансировки нагрузки. На уровне Standard балансировщик нагрузки TCP-прокси обрабатывает нагрузку. балансировка на региональном уровне. В разделе Поведение балансировщика нагрузки в Уровни сетевых услуг.

    В этом примере соединения для трафика от пользователей в Сеуле и Бостоне завершается на уровне балансировки нагрузки.Эти связи с маркировкой 1a и 2a . Устанавливаются отдельные соединения от нагрузки. балансировщик выбранных бэкэнд-инстансов. Эти соединения имеют маркировку 1b . и 2b .

    Балансировка нагрузки в облаке с завершением TCP (щелкните, чтобы увеличить)

    Балансировка нагрузки прокси TCP предназначена для трафика TCP на определенных хорошо известных порты, такие как порт 25 для SMTP. Для большего информацию см. Порт технические характеристики.Для клиентского трафика, зашифрованного на тех же портах, используйте Балансировка нагрузки SSL-прокси.

    Для получения информации о том, чем балансировщики нагрузки Google Cloud отличаются от каждого прочее, см. следующие документы:

    Преимущества

    Некоторые преимущества балансировщика нагрузки TCP-прокси включают:

    • Завершение IPv6. TCP Proxy Load Balancing поддерживает как IPv4, так и IPv6 адреса для клиентского трафика. Клиентские запросы IPv6 завершаются на уровне балансировки нагрузки, а затем проксируются через IPv4 на ваш бэкэнды.
    • Интеллектуальная маршрутизация. Балансировщик нагрузки может направлять запросы на серверную часть. места, где есть вместимость. Напротив, балансировщик нагрузки L3 / L4 должен маршрут к региональным серверам без учета пропускной способности. Использование умнее маршрутизация позволяет инициализировать N + 1 или N + 2 вместо x * N.
    • Установка исправлений безопасности. Если в стеке TCP возникают уязвимости, Cloud Load Balancing автоматически применяет исправления к балансировщику нагрузки чтобы ваши серверы были в безопасности.
    • Поддержка следующих хорошо известных портов TCP. 25, 43, 110, 143, 195, 443, 465, 587, 700, 993, 995, 1883, 3389, 5222, 5432, 5671, 5672, 5900, 5901, 6379, 8085, 8099, 9092, 9200 и 9300.
    Примечание. TCP Proxy Load Balancing не поддерживает TCP-порты 80 или 8080. Для HTTP-трафика используйте внешнюю балансировку нагрузки HTTP (S).

    Поведение балансировщика нагрузки на уровнях сетевых служб

    TCP Proxy Load Balancing можно настроить как глобальную службу балансировки нагрузки. с премиум-уровнем и как региональный обслуживание на уровне Standard.

    Премиум уровня и Стандартный уровень

    Для премиум-уровня:

    • У вас может быть только одна серверная служба, а серверная служба может имеют серверные части в нескольких регионах. Для глобальной балансировки нагрузки вы развертываете свой бэкэнды в нескольких регионах, а балансировщик нагрузки автоматически направляет трафик в ближайший к пользователю регион. Если регион загружен, балансировщик нагрузки автоматически направляет новые подключения в другой регион с доступная мощность.Существующие пользовательские подключения остаются в текущем регионе.
    • Google объявляет IP-адрес вашего балансировщика нагрузки со всех точек присутствие по всему миру. Каждый IP-адрес балансировщика нагрузки является глобальным произвольным.
    • Если вы настраиваете серверную службу с серверной частью в нескольких регионах, Google Внешние интерфейсы (GFE) пытаются направить запросы к работоспособному внутреннему экземпляру группы или NEG в регионе, ближайшем к пользователю. Подробная информация о процессе задокументировано на этой странице.

    Для стандартного уровня:

    • Google рекламирует IP-адрес вашего балансировщика нагрузки из точек присутствия. связанный с регионом правила переадресации.Балансировщик нагрузки использует региональный внешний IP-адрес.

    • Вы можете настроить серверные ВМ в том же регионе, что и правило переадресации. Процесс, описанный здесь, по-прежнему применяется, но GFE направляют запросы только на здоровые серверные ВМ в этом одном регионе.

    Процесс:

    Режим балансировки и выбор цели определяют «полный» с точки зрения каждый зональный GCE_VM_IP NEG, группа зональных экземпляров или зона регионального экземпляра группа.Распределение внутри зоны осуществляется с помощью последовательного хеширования.

    Балансировщик нагрузки использует следующий процесс:

    1. Внешний IP-адрес правила переадресации объявляется граничными маршрутизаторами на границы сети Google. В каждом объявлении указывается следующий переход к Система балансировки нагрузки уровня 3/4 (Maglev) максимально приближена к пользователю.
    2. Системы
    3. Maglev проверяют исходный IP-адрес входящего пакета. Они направить входящий запрос в системы Maglev, которые гео-IP Google системы определяют как можно ближе к пользователю.
    4. Системы Maglev направляют трафик во внешний интерфейс Google (GFE) первого уровня. GFE первого уровня направляет трафик к GFE второго уровня в соответствии с этим процесс:
      1. Если серверная служба использует группу экземпляров или GCE_VM_IP_PORT Серверы NEG, GFE первого уровня предпочитают GFE второго уровня, которые расположен в или рядом с регионом, который содержит группу экземпляров или NEG.
      2. Для серверных сегментов и серверных служб с гибридными NEG, без сервера NEG и интернет-NEG, GFE первого уровня выбирают GFE второго уровня в подмножество регионов, так что время приема-передачи между двумя GFE равно сведены к минимуму.

        Предпочтение GFE второго уровня не является гарантией и может динамически изменяться в зависимости от состояния и обслуживания сети Google.

        GFE второго уровня осведомлены о статусе проверки работоспособности и фактическом сервере использование емкости.

    5. GFE второго уровня направляет запросы к серверным модулям в зонах в пределах своего региона.
    6. Для уровня Premium иногда GFE второго уровня отправляют запросы на серверные ВМ в зонах. разных регионов. Такое поведение называется побочным эффектом .
    7. Перелива регулируется двумя принципами:

    • Перелива возможна, когда все бэкенды известны второму уровню GFE работают на пределе своих возможностей или работают нездорово.
    • GFE второго уровня содержит информацию для исправного, доступного бэкенды в зонах другого региона.

    GFE второго уровня обычно "знают" о подмножестве серверной части. локации.

    Переливное поведение не исчерпывает все возможные Google Cloud зоны.Если вам нужно направить трафик от бэкендов в определенном зоны или всего региона необходимо установить масштабатор емкости на ноль. Настройка серверных ВМ на отказ проверки работоспособности не гарантирует, что GFE второго уровня распространяется на серверные модули в зонах другого региона.

  • При распределении запросов на бэкенды GFE работают на зональном уровне.

    При небольшом количестве подключений GFE второго уровня иногда предпочитают одна зона в регионе по сравнению с другими зонами.Это предпочтение нормально и ожидал. Распределение по зонам в регионе не становится равномерным. пока балансировщик нагрузки не получит больше подключений.

  • Архитектура

    Ниже приведены компоненты балансировщиков нагрузки TCP-прокси.

    Правила переадресации и IP-адреса

    Правила экспедирования направлять трафик по IP-адресу, порту и протоколу на балансировку нагрузки конфигурация, состоящая из целевого прокси и серверной службы.

    Каждое правило переадресации предоставляет один IP-адрес, который можно использовать в DNS. записи для вашего приложения.Балансировка нагрузки на основе DNS не требуется. Вы можете либо зарезервируйте статический IP-адрес, который вы можете использовать, либо разрешите Cloud Load Balancing назначит вам один вариант. Мы рекомендуем вам зарезервировать статический IP-адрес; в противном случае вы должны обновить свою запись DNS новым назначается эфемерный IP-адрес всякий раз, когда вы удаляете правило переадресации и создаете новый.

    Правила внешней переадресации, используемые в определении балансировщика нагрузки прокси TCP, могут ссылаться точно на на один из портов, перечисленных в: Технические характеристики портов для правила пересылки.

    Целевые прокси

    TCP Proxy Load Balancing завершает TCP-соединения от клиента и создает новые подключения к бэкэндам. По умолчанию исходный IP-адрес клиента и информация о порте не сохраняется. Вы можете сохранить эту информацию, используя ПРОКСИ протокол. Целевые прокси маршрутизируют входящие запросы напрямую к серверным службам.

    Серверные службы

    Backend сервисы прямые входящие трафик к одному или нескольким подключенным бэкэндам. Каждый бэкэнд состоит из группа экземпляров или группу конечных точек сети, а также информацию о обслуживающая способность серверной части.Производительность серверной части может зависеть от ЦП или запросов в секунду (RPS).

    У каждого балансировщика нагрузки прокси-сервера

    TCP есть один ресурс внутренней службы. Изменения в бэкэнд-сервис не происходит мгновенно. Внесение изменений может занять несколько минут. для распространения на Google Front Ends (GFE).

    Каждая серверная служба указывает проверки здоровья для выполнения доступные бэкенды.

    Чтобы гарантировать минимальные перерывы для ваших пользователей, вы можете включить соединение истощение серверных служб.Такие прерывания могут произойти, когда серверная часть завершается, удаляется вручную или удаляется средством автомасштабирования. Чтобы узнать больше о использование слива соединения для минимизации перерывов в обслуживании, см. Включение слива соединения.

    Протокол для связи с бэкэндами

    Когда вы настраиваете серверную службу для балансировщика нагрузки прокси TCP, вы устанавливаете протокол, который серверная служба использует для связи с серверной частью. Вы можете выберите SSL или TCP .Балансировщик нагрузки использует только тот протокол, который вы указываете, и не пытается согласовать соединение с другим протокол.

    Правила межсетевого экрана

    Внутренние экземпляры должны разрешать подключения из следующих источников:

    • Балансировщик нагрузки Google Front End (GFE) для всех запросов, отправленных на ваш бэкенды
    • Зонды для проверки работоспособности

    Чтобы разрешить этот трафик, необходимо создать правила входящего брандмауэра. Порты для этих правил брандмауэра должны разрешать трафик следующим образом:

    • На порт назначения для каждой проверки работоспособности серверной службы.

    • Например, серверная часть группы: определяется сопоставлением между серверной частью именованный порт службы и номера портов, связанные с этим именованным портом в каждой группе экземпляров. В номера могут варьироваться в зависимости от группы экземпляров, назначенных одной и той же серверной службе.

    • Для GCE_VM_IP_PORT NEG backends: к номерам портов конечные точки.

    Правила межсетевого экрана реализуются на уровне экземпляра ВМ, а не на Прокси GFE. Вы не можете использовать правила брандмауэра Google Cloud для предотвращения трафик от балансировщика нагрузки.Вы можете использовать Google Cloud Armor для этого.

    Для получения дополнительной информации о датчиках для проверки работоспособности и о том, почему необходимо разрешить трафик от них, см. Диапазоны IP-адресов зондов и межсетевой экран. правила.

    Для подсистем балансировки нагрузки прокси-сервера SSL и подсистемы балансировки нагрузки прокси-сервера TCP требуются следующие диапазоны источников. следует:

    • 130.211.0.0/22 ​​
    • 35.191.0.0/16

    Эти диапазоны применяются к проверкам работоспособности и запросам от GFE. Важно: Убедитесь, что пакеты от полной проверки работоспособности разрешены. диапазоны.Если ваше правило брандмауэра разрешает пакеты только из подмножества диапазонов, вы можете увидеть сбои проверки работоспособности, потому что балансировщик нагрузки не может общаться со своими бэкэндами. Это вызывает таймауты подключения.

    Исходные IP-адреса

    Исходный IP-адрес для пакетов с точки зрения серверной части - , а не . Внешний IP-адрес Google Cloud балансировщика нагрузки. В других словами, есть два TCP-соединения:

    • Соединение 1, от исходного клиента к балансировщику нагрузки (GFE):

      • Исходный IP-адрес: исходный клиент (или внешний IP-адрес, если клиент находится за NAT или прокси-сервером прямого доступа).
      • Целевой IP-адрес: IP-адрес вашего балансировщика нагрузки.
    • Подключение 2, от балансировщика нагрузки (GFE) к серверной виртуальной машине или конечной точке:

      • Исходный IP-адрес: IP-адрес в одном из диапазонов, указанных в Правила межсетевого экрана.

      • IP-адрес назначения: внутренний IP-адрес внутренней виртуальной машины или контейнер в сети виртуального частного облака (VPC).

    Открытые порты

    Балансировщики нагрузки прокси TCP - это подсистемы балансировки нагрузки обратного прокси.Загрузка балансировщик завершает входящие соединения, а затем открывает новые соединения из балансировщик нагрузки на серверные ВМ. Эти балансировщики нагрузки реализованы с использованием Прокси-серверы Google Front End (GFE) по всему миру.

    GFE имеют несколько открытых портов для поддержки других служб Google, работающих на та же архитектура. Чтобы увидеть список некоторых портов, которые могут быть открыты на GFE, см. Правило переадресации: Порт технические характеристики. Могут быть и другие открытые порты для других сервисов Google, работающих на GFE.

    Запуск сканирования порта на IP-адресе балансировщика нагрузки на основе GFE бесполезен с точки зрения аудита по следующим причинам:

    • Сканирование порта (например, с помощью nmap ) обычно не ожидает пакета ответа или пакет TCP RST при выполнении проверки TCP SYN.GFE отправят SYN-ACK пакеты в ответ на SYN-зонды для различных портов, если ваш балансировщик нагрузки использует IP-адрес уровня Premium. Однако GFE отправляют пакеты только на ваш бэкэнды в ответ на пакеты, отправленные на IP-адрес вашего балансировщика нагрузки и порт назначения, настроенный в его правиле переадресации. Пакеты отправлены на разные IP-адреса балансировщика нагрузки или IP-адрес вашего балансировщика нагрузки на порт, не настроенный в вашем правиле переадресации, не приводит к пакетам отправляется на серверную часть вашего балансировщика нагрузки.Даже без какой-либо специальной настройки инфраструктура Google и GFE обеспечивают Глубокая защита от DDoS-атак и SYN-флуда.

    • На пакеты, отправленные на IP-адрес вашего балансировщика нагрузки, может ответить любой GFE в парке Google; однако сканирование IP-адреса балансировщика нагрузки и комбинация портов назначения опрашивает только один GFE на TCP-соединение. IP-адрес вашего балансировщика нагрузки не назначен отдельное устройство или система. Таким образом, сканирование IP-адреса нагрузки на основе GFE балансировщик не сканирует все GFE в парке Google.

    Имея это в виду, ниже приведены несколько более эффективных способов аудита безопасность ваших бэкэнд-инстансов:

    • Аудитор безопасности должен проверить конфигурацию правил пересылки для конфигурация балансировщика нагрузки. Правила пересылки определяют пункт назначения порт, для которого ваш балансировщик нагрузки принимает пакеты и пересылает их в серверные части. Для балансировщиков нагрузки на основе GFE каждое внешнее перенаправление правило может ссылаться только на один целевой TCP порт.

    • Аудитор безопасности должен проверить применяемую конфигурацию правила межсетевого экрана. для внутренних виртуальных машин. Установленные вами правила брандмауэра блокируют трафик от GFE. к внутренним виртуальным машинам, но не блокировать входящий трафик к GFE. Для лучшего см. раздел правил брандмауэра.

    Распределение трафика

    Способ, которым балансировщик нагрузки TCP-прокси распределяет трафик своим бэкэндам, зависит от режим балансировки и метод хеширования, выбранный для выбора серверной части (близость сеанса).

    Режим балансировки

    Когда вы добавляете серверную часть в серверную службу, вы устанавливаете балансировку нагрузки. режим.

    Для балансировки нагрузки TCP-прокси режим балансировки может быть ПОДКЛЮЧЕНИЕ или ИСПОЛЬЗОВАНИЕ .

    Если режим балансировки нагрузки - ПОДКЛЮЧЕНИЕ , нагрузка распределяется в зависимости от того, как бэкэнд может обрабатывать множество одновременных подключений. Вы также должны указать ровно один из следующих параметров: maxConnections (кроме региональные группы управляемых экземпляров), maxConnectionsPerInstance или maxConnectionsPerEndpoint .

    Если режим балансировки нагрузки - UTILIZATION , нагрузка распределяется на основе использования экземпляров в группе экземпляров.

    Для получения информации о сравнении типов балансировщика нагрузки и поддерживаемых режимы балансировки, см. Балансировка нагрузки методы.

    Сходство сеанса

    Сходство сеанса отправляет все запросы от одного и того же клиента к одному и тому же бэкэнду, если бэкэнд исправен и имеет емкость.

    TCP Proxy Load Balancing предлагает привязка IP-адреса клиента, который перенаправляет все запросы с одного и того же IP-адреса клиента на один и тот же бэкэнд.

    Отказоустойчивый

    Если бэкэнд выходит из строя, трафик автоматически перенаправляется на работоспособный. бэкенды в одном регионе. Если все серверные ВМ в регионе неработоспособны, трафик распределяется между работоспособными серверными ВМ в других регионах (только премиум-уровень). Если все серверные ВМ не работают, балансировщик нагрузки отбрасывает трафик.

    Ограничения

    • Балансировщики нагрузки прокси TCP не поддерживают пиринг сети VPC.

    Что дальше

    Добавление или изменение назначения портов

    Добавление или изменение назначения портов TCP / UDP

    TCP и UDP - протоколы транспортного уровня в протоколе IP. люкс.Эти протоколы транспортного уровня используют порты для установления связи. между протоколами прикладного уровня. Например, весь веб-трафик использует протокол HTTP. HTTP - это протокол прикладного уровня, который использует стандартный порт TCP / UDP 80. Администрация адресного пространства Интернета (IANA) отвечает за ведение списка стандартных номеров портов и их задания. Для получения актуального списка всех стандартных назначений портов TCP / UDP, посетите www.iana.org.

    Когда анализатор читает пакет TCP, UDP или IPX, он выводит протоколы верхнего уровня, используя заранее определенные правила обхода. Например, если пакет имеет номер порта источника или назначения TCP 80, то протокол верхнего уровня - HTTP. Эти правила, которые построены в программное обеспечение, определить верхние уровни стека протоколов на основе на номера порта источника или назначения в пакете. Встроенный правила основаны на стандартных назначениях портов.Однако это вполне часто встречается в сетевых системах, в которых протоколы верхнего уровня используют определяемые пользователем номера портов как для стандартных, так и для настраиваемых протоколов. В таком случаях пользователи анализатора могут указать программному обеспечению, какие номера портов назначены каким протоколам.

    Анализатор автоматически проходит стек от TCP, UDP и IPX на основе номера порта источника или назначения. Многие системы используют определяемые пользователем номера портов как для стандартных, так и для пользовательских протоколов.Вот как узнать анализатор о настраиваемом назначении порта в системе, которую вы отслеживаете.

    Добавить новое назначение порта

    1. Выберите «Установить начальные параметры декодера» из меню "Параметры" на панели управления окно.
    2. Щелкните вкладку TCP (или UDP или IPX для этих протоколов).
    3. Выберите радиокнопку Single Port
    4. Введите порт номер в поле Номер порта.
    5. В раскрывающемся списке Протокол выберите протокол для перехода.
    6. Щелкните кнопку Добавить.

    Система добавляет новую запись внизу списка номеров портов.

    Изменить существующее назначение порта

    1. Выберите «Установить начальные параметры декодера» из меню "Параметры" на панели управления окно.
    2. Щелкните вкладку TCP (или UDP или IPX для этих протоколов).
    3. Выбрать (нажать включите и выделите) назначение порта, которое нужно изменить.
    4. Поменять порт номер и / или выберите протокол для перехода.
    5. Выберите радиокнопку Диапазон портов и укажите начальный и конечный номера портов.В диапазон включен.
    6. Нажмите кнопку «Изменить».

    Система отображает изменения в назначении портов.

    Удалить Назначение порта

    1. Выберите «Установить начальные параметры декодера» из меню "Параметры" на панели управления окно.
    2. Щелкните вкладку TCP (или UDP или IPX для этих протоколов).
    3. Выбрать (нажать включите и выделите) назначение порта для удаления.
    4. Выберите Удалить.

    Система удаляет назначение порта.

    Перемещение назначения порта

    Если вам нужно переместить запись, чтобы обрабатывается до или после другой записи, выберите запись в список, а затем нажмите кнопку "Вверх" или кнопки «Вниз».

    Рекомендации по назначению портов

    • Анализатор движется запись, если совпадают порт источника или назначения.
    • Анализатор процессов записи номеров портов в порядке сверху вниз.
    Принтеры HP LaserJet

    - изменение автоматического частного IP-адреса (169.254.X.X) в ручной IP в Microsoft Windows TCP / IP

    Если заказчик пытается вручную назначить IP-адрес принтеру, у которого нет ЖК-дисплея, с помощью концентратора, маршрутизатора или коммутатора, работающего в статической сети, а конфигурация принтера показывает IP-адрес в диапазоне 169.254.XX, тогда клиент сможет пропинговать IP-адрес 169.254.XX Проверьте IP-адрес на одном из компьютеров в той же сети.

    Инструкции

    1. Щелкните правой кнопкой мыши Мои сетевые места и Свойства.

    2. Щелкните правой кнопкой мыши "Подключения по локальной сети", "Свойства", выберите "TCP / IP" и щелкните "Свойства".

    3. Запишите IP-адрес, маску подсети и шлюз.

    4. Измените IP-адрес компьютера, как в следующем примере:

      Если принтер имеет 169.254.12.54 и маску подсети 255.255.0.0, измените IP-адрес компьютера на 169.254.12.55, измените маску подсети на 255.255.0.0 и измените шлюз на 0.0.0.0).

    5. Примените изменения и нажмите кнопку ОК, чтобы закрыть окно. Пропингуйте IP-адрес принтера с помощью командной строки, если IP-адрес отвечает нормально.

      Как открыть командную строку и использовать команду Ping

      1. На ПК откройте командную строку, нажав Пуск, затем Выполнить.

      2. Введите CMD и щелкните OK.

      3. Введите следующий IP-адрес ping

        Например, если TCP / IP-адрес HP Jetdirect - 192.168.192.191, откройте командную строку и введите следующее: ping 192.168.192.191 Ответы должны быть получены, если сетевое соединение хорошее. Сообщения об ошибке при проверке связи могут указывать на то, что IP-адрес недействителен или что существует проблема сетевого подключения между компьютером и HP Jetdirect (концентратором, маршрутизатором, коммутатором, коммутационной панелью или кабелем).

    6. Откройте встроенный веб-сервер (EWS), открыв страницу Интернет-браузера, введите IP-адрес принтера в адресной строке и нажмите Enter.Откроется веб-страница принтера.

    7. Щелкните вкладку «Сеть», измените требуемый IP-адрес, маску подсети и шлюз. Измените метод настройки IP с Авто на Вручную, нажмите Применить и ОК. Измените IP-адрес компьютера на исходный IP-адрес. Попробуйте выполнить эхо-запрос IP, если IP отвечает нормально.

    8. Щелкните Пуск, Панель управления, Принтеры и Факсы. Щелкните драйвер принтера правой кнопкой мыши и выберите «Свойства». Щелкните Порты, Добавить порт, Стандартный порт TCP / IP, Новый порт и щелкните Далее в мастере портов TCP / IP, чтобы указать IP-адрес принтера.Нажмите «Далее» и снова «Далее». Щелкните Готово и закрыть.

    9. Нажмите «Применить», «Общие» и нажмите «Распечатать тестовую страницу».

    Обзор протокола

    Modbus TCP / IP - Real Time Automation, Inc.

    Коды исключений

    Регистры чтения / записи (FC 23)

    Существует определенный набор кодов исключений, которые должны быть возвращены подчиненными в случае проблем. Обратите внимание, что ведущие устройства могут посылать команды «предположительно» и использовать полученные коды успеха или исключения, чтобы определить, на какие команды MODBUS устройство готово ответить, и определить размер различных областей данных, доступных на ведомом устройстве.Все исключения сигнализируются добавлением 0x80 к коду функции запроса и последующим за этим байтом байтом единственной причины, например, следующим образом: 03 12 34 00 01 => 83 02request read 1 регистр с индексом 0x1234 ответ типа исключения 2 - ' недопустимый адрес данных 'Список исключений следующий:

    НЕЗАКОННАЯ ФУНКЦИЯ

    Код функции, полученный в запросе, не является допустимым действием для ведомого устройства. Это может быть связано с тем, что код функции применим только к более новым контроллерам и не был реализован в выбранном устройстве.Это также может указывать на то, что ведомое устройство находится в неправильном состоянии для обработки запроса этого типа, например, потому что оно не настроено и его просят вернуть значения регистров.

    НЕЗАКОННЫЙ АДРЕС ДАННЫХ

    Адрес данных, полученный в запросе, не является допустимым адресом для ведомого устройства. В частности, комбинация ссылочного номера и длины передачи недействительна. Для контроллера со 100 регистрами запрос со смещением 96 и длиной 4 будет успешным, запрос со смещением 96 и длиной 5 сгенерирует исключение 02.

    НЕЗАКОННОЕ ЗНАЧЕНИЕ ДАННЫХ

    Значение, содержащееся в поле данных запроса, не является допустимым значением для ведомого устройства. Это указывает на ошибку в структуре оставшейся части сложного запроса, например на неправильную предполагаемую длину. В частности, это НЕ означает, что элемент данных, представленный для хранения в регистре, имеет значение, выходящее за рамки ожиданий прикладной программы, поскольку протокол MODBUS не осведомлен о значении какого-либо конкретного значения любого конкретного регистра.

    ДЛИНА НЕЗАКОННОГО ОТВЕТА

    Указывает, что запрос в том виде, в котором он оформлен, приведет к созданию ответа, размер которого превышает доступный размер данных MODBUS. Используется только функциями, генерирующими составной ответ, например функциями 20 и 21.

    ПОДТВЕРЖДЕНИЕ

    Специальное использование в сочетании с командами программирования

    ЗАНЯТО ВЕДОМОЕ УСТРОЙСТВО

    Специальное использование в сочетании с командами программирования

    ОТРИЦАТЕЛЬНОЕ ПОДТВЕРЖДЕНИЕ

    Специальное использование в сочетании с командами программирования

    ОШИБКА ЧАСТИЧНОСТИ ПАМЯТИ

    Специальное использование в сочетании с кодами функций 20 и 21, чтобы указать, что расширенная файловая область не прошла проверку целостности.

    ПУТЬ ШЛЮЗА НЕДОСТУПЕН

    Специальное использование в сочетании со шлюзами MODBUS Plus означает, что шлюз не смог выделить ПУТЬ MODBUS Plus для использования для обработки запроса. Обычно означает, что шлюз неправильно настроен.

    ШЛЮЗ ЦЕЛЕВОЕ УСТРОЙСТВО НЕ ОТВЕТИЛО

    Специальное использование вместе со шлюзами MODBUS Plus означает, что от целевого устройства не было получено ответа. Обычно означает, что устройства нет в сети.

    Приложения

    Руководство по реализации клиента и сервера

    Комментарии в этом разделе не следует рассматривать как обязательные для какой-либо конкретной реализации клиента или сервера. Однако, если следовать этим политикам, они сведут к минимуму «сюрпризы» интеграции при внедрении систем и шлюзов от различных поставщиков для установленного оборудования MODBUS. Приведенная ниже структура программного обеспечения предполагает знакомство с интерфейсом службы BSD Sockets, который используется, например, в UNIX и Windows NT.

    Дизайн клиента

    MODBUS / TCP / IP разработан, чтобы сделать дизайн клиента максимально простым. Примеры программного обеспечения приведены в другом месте, но основной процесс обработки транзакции выглядит следующим образом:

    • Установите TCP / IP-соединение с портом 502 на желаемом сервере с помощью connect ()
    • Подготовьте запрос MODBUS, закодированный, как описано ранее.
    • Отправьте запрос MODBUS, включая его 6-байтовый префикс MODBUS TCP / IP, как один буфер для передачи с помощью send ()
    • Дождитесь появления ответа в том же TCP / IP-соединении.Необязательно, запустите тайм-аут на этом шаге с помощью select (), если вы хотите получать уведомления о проблемах со связью быстрее, чем обычно сообщает TCP / IP.
    • Считайте с помощью recv () первые 6 байтов ответа, которые будут указывать фактическую длину ответного сообщения.
    • Используйте recv (), чтобы прочитать оставшиеся байты ответа.
    • Если в ближайшем будущем не ожидается дальнейшего обмена данными с этой конкретной целью, закройте соединение TCP / IP, чтобы ресурсы на сервере можно было временно использовать для обслуживания других клиентов.Рекомендуется, чтобы в качестве максимального периода оставалось соединение на клиенте в течение 1 секунды.
    • В случае тайм-аута ожидания ответа выполните одностороннее закрытие соединения, откройте новое и повторно отправьте запрос. Этот метод позволяет клиенту контролировать время повтора, которое превосходит то, что предоставляется по умолчанию TCP / IP. Это также позволяет использовать альтернативные стратегии отката, такие как отправка запроса на альтернативный IP-адрес с использованием полностью независимой сети связи в случае отказа компонента сетевой инфраструктуры.
    Дизайн сервера

    Сервер MODBUS TCP / IP всегда должен быть спроектирован так, чтобы поддерживать несколько одновременных клиентов, даже если в его предполагаемом использовании только один клиент кажется разумным. Это позволяет клиенту закрывать и повторно открывать соединение в быстрой последовательности, чтобы быстро реагировать на недоставку ответа. Если используется стандартный стек протоколов TCP / IP, можно сэкономить значительные ресурсы памяти за счет уменьшения буфера приема и передачи. размеры. Обычная служба TCP / IP в UNIX или NT обычно выделяет 8 Кбайт или более в качестве приемного буфера для каждого соединения, чтобы стимулировать «потоковую» передачу данных, например, с файловых серверов.Такое буферное пространство не имеет значения в MODBUS TCP / IP, поскольку максимальный размер запроса или ответа составляет менее 300 байт. Часто можно обменять дисковое пространство на дополнительные ресурсы подключения. Для обработки нескольких подключений можно использовать многопоточную или однопоточную модель. Описания приведены в следующих разделах.

    Многопоточный сервер

    Операционные системы или языки, которые поощряют использование нескольких потоков, например JAVA, могут использовать многопоточную стратегию, описанную здесь:

    • Используйте listen () для ожидания входящих соединений на TCP / IP-порт 502
    • Когда получен новый запрос на соединение, используйте accept (), чтобы принять его и создать новый поток для обработки соединения.
    • В новом потоке выполните в бесконечном цикле следующее: ssue запрос recv (6) для 6 байт заголовка MODBUS TCP / IP.Не устанавливайте здесь тайм-аут, вместо этого будьте готовы подождать, пока не поступит запрос или соединение не будет закрыто. Обе ситуации автоматически разбудят поток.
    • Проанализировать заголовок. Если он кажется поврежденным, например, поле протокола не равно нулю или длина сообщения больше 256, тогда ОДНОСТОРОННЕ ЗАКРЫВАЙТЕ СОЕДИНЕНИЕ. Это правильный ответ сервера на ситуацию, подразумевающую, что кодировка TCP / IP неверна.
    • Выполните recv () для оставшихся байтов сообщения, длина которых теперь известна.В частности, обратите внимание, что выполнение recv () с таким ограничением длины будет терпеть клиентов, которые настаивают на «конвейерной обработке» запросов. Любые такие конвейерные запросы останутся в буферах TCP / IP на сервере или на клиенте и будут приняты позже, когда текущий запрос завершит обслуживание.
    • Теперь обработайте входящее сообщение MODBUS, при необходимости приостановив текущий поток до тех пор, пока не будет рассчитан правильный ответ. В конце концов у вас будет действительное сообщение MODBUS или сообщение EXCEPTION для использования в качестве ответа
    • Создайте префикс MODBUS TCP / IP для ответа, скопировав поле «идентификатор транзакции» из байтов 0 и 1 запроса и пересчитав значение поле длины.
    • Отправьте ответ, включая префикс MODBUS TCP / IP, как единый буфер для передачи по соединению, используя send ().
    • Вернитесь назад и дождитесь следующей 6-байтовой записи префикса.
    • В конце концов, когда клиент решит закрыть соединение, recv () 6-байтового префикса завершится ошибкой. Упорядоченное закрытие обычно приводит к recv () с нулевым счетчиком байтов возврата. Принудительное закрытие может вызвать возврат ошибки из recv (). В любом случае закройте соединение и отмените текущий поток.
    Однопоточный сервер

    Некоторые встроенные системы и старые операционные системы, такие как UNIX и MS-DOS, поощряют обработку нескольких соединений с помощью вызова select из интерфейса сокетов. В такой системе вместо обработки отдельных параллельных запросов в их собственном потоке вы можете обрабатывать запросы как несколько конечных автоматов в общем обработчике. Такие языки, как C ++, делают структуру программного обеспечения такой удобной. Теперь структура будет следующей:

    • Инициализировать несколько конечных автоматов, установив их состояние на 'idle' listen () для входящих подключений через порт TCP / IP 502
    • Теперь запустите бесконечный цикл, проверяя порт «прослушивания» и конечные автоматы следующим образом:
      • Если состояние - «новый запрос»:
      • Используйте select (), чтобы узнать, поступил ли запрос.Обычно устанавливайте тайм-аут равным нулю, так как вы не хотите приостанавливать процесс из-за отсутствия активности на этом конкретном соединении.
      • Если select () указывает на наличие пакета, используйте recv (6) для чтения заголовка, как в многопоточном случае. Если заголовок поврежден, ЗАКРЫВАЙТЕ СОЕДИНЕНИЕ и переведите конечный автомат в режим ожидания.
      • Если чтение прошло успешно и select () указывает, что доступны дополнительные данные, прочтите остальную часть запроса.
      • Если запрос завершен, измените состояние сеанса на «ожидание ответа».
      • Если recv () возвращается, указывая, что соединение больше не используется, закройте соединение и переустановите конечный автомат в состояние «простоя».
      • Если состояние - «ожидание ответа»
      • Проверьте, доступна ли информация ответа приложения, если она есть, создайте ответный пакет и отправьте его с помощью send (), точно так же, как в многопоточном случае. Установите состояние «новый запрос»
      • Можно оптимизировать производительность, объединив несколько вызовов select () в один вызов для каждого цикла, не влияя на функциональную структуру приложения.
    Требуемая и ожидаемая производительность

    Умышленно НЕТ указания требуемого времени ответа для транзакции через MODBUS или MODBUS TCP / IP. Это связано с тем, что ожидается, что MODBUS TCP / IP будет использоваться в самых разнообразных коммуникационных ситуациях, от сканеров ввода-вывода, ожидающих субмиллисекундной синхронизации, до междугородных радиоканалов с задержками в несколько секунд. Кроме того, семейство MODBUS разработано для поощрения автоматического преобразования между сетями с помощью шлюзов «слепого» преобразования.К таким устройствам относятся Schneider «Ethernet to Modbus Plus Bridge» и различные устройства, которые преобразуют последовательные каналы MODBUS TCP / IP в MODBUS. Использование таких устройств подразумевает, что производительность существующих устройств MODBUS согласуется с использованием MODBUS TCP / IP. Как правило, такие устройства, как ПЛК, которые демонстрируют поведение «сканирования», будут отвечать на входящие запросы за одно время сканирования, которое обычно варьируется от 20 мсек до 200 мсек.

    С точки зрения клиента, это время должно быть увеличено на ожидаемые задержки транспорта по сети, чтобы определить «разумное» время ответа.Такие транспортные задержки могут составлять миллисекунды для коммутируемого Ethernet или сотни миллисекунд для подключения к глобальной сети. В свою очередь, любое время «тайм-аута», используемое клиентом для инициирования повторной попытки приложения, должно быть больше ожидаемого максимального «разумного» времени ответа. Если этого не сделать, существует вероятность чрезмерной перегрузки на целевом устройстве или в сети, что, в свою очередь, может вызвать дополнительные ошибки. Этой характеристики всегда следует избегать. Таким образом, на практике тайм-ауты клиента, используемые в высокопроизводительных приложениях, всегда могут в некоторой степени зависеть от топологии сети и ожидаемой производительности клиента.Тайм-аут, скажем, 30 мсек, может быть разумным при сканировании 10 устройств ввода-вывода через локальный Ethernet, и каждое устройство обычно отвечает в течение 1 мсек. С другой стороны, значение тайм-аута в 1 секунду может быть более подходящим при контроле медленных ПЛК через шлюз по последовательному каналу, где обычная последовательность сканирования завершается за 300 мс.

    Приложения, которые не критичны по времени, часто могут оставлять значения тайм-аута с обычными значениями TCP / IP по умолчанию, которые сообщают о сбое связи через несколько секунд на большинстве платформ.Клиентам рекомендуется закрывать и восстанавливать соединения MODBUS TCP / IP, которые используются только для доступа к данным (не для программирования ПЛК), и где ожидаемое время до следующего использования является значительным, например, дольше одной секунды. Если клиенты следуют этому принципу, это позволяет серверу с ограниченными ресурсами соединения обслуживать большее количество потенциальных клиентов, а также облегчает стратегии восстановления после ошибок, такие как выбор альтернативных целевых IP-адресов. Следует помнить, что дополнительная нагрузка на связь и ЦП, вызванная закрытием и повторным открытием соединения, сравнима с нагрузкой, вызванной ОДНОЙ транзакцией MODBUS.

    Кодирование данных для данных, отличных от слов

    Самый эффективный метод передачи большого объема информации любого типа через MODBUS, используя коды функций 3 (регистры чтения), 16 (регистры записи) или, возможно, 23 (регистры чтения / записи) . Хотя эти функции определены в терминах их работы с 16-битными регистрами, они могут использоваться для перемещения любого типа информации с одной машины на другую, если эта информация может быть представлена ​​как непрерывный блок из 16-битных слов. Первоначальные ПЛК с поддержкой MODBUS были специализированными компьютерами, использующими архитектуру с прямым порядком байтов.Большинство современных ПЛК основаны на обычных микропроцессорах, использующих архитектуру с прямым порядком байтов. Тот факт, что MODBUS используется для потенциального обмена данными между этими двумя архитектурами, привносит некоторые тонкости, которые могут увести в ловушку неосторожных. Почти все типы данных, кроме примитивных «дискретных битов» и «16-битных регистров», были введены после принятия микропроцессоров с прямым порядком байтов. Следовательно, представление этих типов данных в MODBUS следует модели с прямым порядком байтов, что означает:
    Биты первого регистра 15-0 = биты 15-0 элемента данных
    Биты второго регистра 15-0 = биты 31-16 элемента данных
    Третий биты регистра 15-0 = биты 47-32 элемента данных и т. д.и т. д.

    Номера битов в слове

    ПЛК Modicon имеют предопределенные функции на языке лестничной логики 984, которые преобразуют ряд смежных регистров в блок эквивалентной длины из 1-битных «дискретных». Самая распространенная такая функция - BLKM (Block Move). Для согласованности с исходной архитектурой с прямым порядком байтов такие дискретные значения были пронумерованы от наиболее значимого бита к наименее значимому, и, чтобы добавить путаницы, все числовые последовательности начинались с единицы, а не с нуля. (Номера битов в этом документе всегда обозначаются с нуля как младший значащий бит, чтобы соответствовать современной документации по программному обеспечению) Таким образом, в слове (регистре):
    Дискретный 1 будет бит 15 (значение 0x8000)
    Дискретный 2 будет битом 14 (значение 0x4000)
    Дискретный 3 будет бит 13 (значение 0x2000)
    Дискретный 4 будет бит 12 (значение 0x1000)
    Дискретный 5 будет бит 11 (значение 0x0800)
    Дискретный 6 будет бит 10 (значение 0x0400)
    Дискретный 7 будет битом 9 (значение 0x0200)
    Дискретным 8 будет битом 8 (значение 0x0100)
    Дискретным 9 будет битом 7 (значение 0x0080)
    Дискретным 10 будет битом 6 (значение 0x0040)
    Дискретным 11 будет битом 5 (значение 0x0020)
    Дискретный 12 будет бит 4 (значение 0x0010)
    Дискретный 13 будет бит 3 (значение 0x0008)
    Дискретный 14 будет бит 2 (значение 0x0004)
    Дискретный 15 будет бит 1 (значение 0x0002)
    Дискретный 16 будет бит 0 (значение 0x0001)

    Когда имеется более 16 бит, например В модуле дискретного ввода с 32 точками дискретные значения с 1 по 16 будут находиться в первом регистре, а дискретные с 17 по 32 - во втором регистре.

Разное

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *